Estoy tratando de convencer a los ejecutivos de un proyecto para que usen una función de fortalecimiento iterativo para asegurar el almacenamiento de contraseñas para un nuevo sistema. La propuesta actual almacenaría algo así como un HMAC de un SHA-256 salado (probablemente las otras entradas del HMAC se almacenan por separado para seguridad adicional).
Los desarrolladores de seguridad hablan un idioma diferente, por lo que es básicamente imposible comunicarse con ellos directamente o determinar exactamente los requisitos. Fui directamente a los superiores que solo parecen entender los estudios de casos de negocios. En medio de mis protestas, me dijeron que básicamente la única forma de convencerlos sería encontrar algunos ejemplos reales de filtraciones importantes de contraseñas que usaran tanto sal como HMAC pero no un fortalecimiento iterativo, y como resultado se comprometieran muchas contraseñas.
Comprenda que no voy a intentar alcanzar lo imposible y que implementen las recomendaciones estándar exactas para el almacenamiento de contraseñas. Solo quiero que consideren el fortalecimiento iterativo.
¿Existen ejemplos destacados en el mundo real en los que se utilizaron sal y HMAC, pero debido a la falta de fortalecimiento iterativo, muchas contraseñas fueron comprometidas de todos modos? Puntos de bonificación para empresas conocidas como Facebook, LinkedIn, etc.