Los hash salados no parecen ofrecer ninguna protección real para las contraseñas de los usuarios por sí mismas. Mientras un pirata informático tenga una forma rápida de verificar si una contraseña es correcta o incorrecta, es trivial forzarla a ver las contraseñas de texto sin formato. Especialmente si el atacante está utilizando GPU o una solución FPGA / ASIC.
Por lo que he recopilado, debería enviar mis contraseñas de hash + salted a un servidor dedicado (endurecido) en mi red cuya única tarea es la validación (a través de claves secretas). Un pirata informático tendría que obtener acceso a ambos servidores antes de poder recuperar las contraseñas de texto sin formato. Me gusta esta solución, pero no me gusta el costo de alquilar otro servidor.
¿Existen alternativas al uso de un servidor de validación dedicado?