Uso sha1() para codificar las contraseñas de mis usuarios, pero recientemente un amigo me dijo que si alguien obtenía el hash, podrían usar el ataque de diccionario y él recomendó usar sales.
Implementé un salt aleatorio para cada usuario y les pedí que restablecieran sus contraseñas. ¿Las contraseñas ahora están protegidas contra ataques de diccionario?
Creo que hay algunos conceptos erróneos que deben corregirse. En primer lugar, un ataque de diccionario es un ataque de fuerza bruta, pero con una suposición especial. En el caso de las contraseñas con hash, asume que la contraseña es una palabra del diccionario (o alguna mutación de la misma) y luego repasa cada palabra en el diccionario, la hace y luego la compara con el hash robado para encontrar un partido.
Cuando su amigo dijo "ataque del diccionario", probablemente quiso decir tablas de arco iris , y una sal adecuada protege contra el arco iris tablas (pre-computando una lista gigantesca de hashes para una comparación rápida justo después de robar los hashes), pero casi no tiene nada que ver con los ataques de diccionario. La salazón adecuada tiene otros beneficios también , como evitar que el ataque rompa dos contraseñas al mismo tiempo.
Habiendo dicho eso, también me preocupa lo rápido que es tu esquema de hashing actual. Recomiendo aprender cómo cifrar de forma segura las contraseñas mediante el uso de esquemas lentos que son especialmente diseñado para este propósito, como BCrypt o PBKDF2 .