. . Se han propuesto mejores soluciones y valdrán la pena considerarlas una vez que hayan superado la prueba del tiempo (es decir, "5 a 10 años en el campo, y aún no se hayan roto").
- De la excelente de Thomas Pornin sobre el hashing de contraseñas .
La cita me parece ser un caso de la gallina y el huevo. Las nuevas soluciones necesitan experiencia de campo, pero hasta que no obtengan experiencia de campo, no se puede confiar en ellas y, por lo tanto, no se pueden usar en el campo.
El proceso de selección de AES evitó el problema al aportar una gran cantidad de fuerza académica. Durante cinco años, los mejores criptógrafos del mundo examinaron meticulosamente los algoritmos enviados, con el resultado de que Rijndael fue elegido como el mejor compromiso entre seguridad, velocidad y facilidad de uso.
Pero AES tenía la importante ventaja de que la norma que estaba reemplazando era demostrablemente débil contra el hardware de computadora moderno y con una necesidad extrema de reemplazo. La mayoría de los nuevos protocolos o algoritmos no tienen este límite estricto para ayudarlos a lograr prominencia.
Dado que la respuesta estándar a "qué algoritmo?" o "¿qué método?" es siempre "usar lo confiable", ¿cómo las nuevas soluciones obtienen su experiencia de campo? ¿Se basa en que alguien tome un acto de fe con sus datos confidenciales, o confíe en el uso de la nueva solución con datos no confidenciales y luego en la extrapolación según esa experiencia, o qué?
(Entiendo que el contexto de la cita se relacionó específicamente con el hashing de la contraseña. Si generalizar esto a todos los métodos de seguridad es injusto o fuera de la base, saber por qué sería útil).