Dudamos entre BCrypt y PBKDF2 para el hashing de contraseñas. En muchos foros y blogs, la gente dice algo como "En su Publicación especial SP 800-132 NIST básicamente recomienda usar PBKDF2 para el hashing de contraseñas ".
Este puede ser un argumento muy importante para nuestro cliente (adoran los estándares). Pero aún no puedo leer esta recomendación en texto sin formato ... Por lo tanto, no puedo reclamarlo cómodamente. En resumen NIST más o menos decir:
El material de clave derivado se llama clave maestra (MK), denotado como mk El MK se usa 1) para generar una o más Protección de Datos Claves (DPK) para proteger datos, o 2) para generar una clave intermedia para proteger uno o más DPK existentes o generados desde el MK usando un Función de derivación de clave aprobada (KDF) como se define en [2]. El MK deberá no ser utilizado para otros fines.
¿Existe tal recomendación o esto es solo un mito?