¿Sigue siendo seguro SHA-256 + Salt para el almacenamiento de contraseñas? [duplicar]

5

Estoy desarrollando un sitio web que requiere que los usuarios se registren para usar sus funciones y me preguntaba si SHA-256 + sal (sal aleatoria proporcionada por RNGCryptoServiceProvider en C #) es segura y lo suficientemente buena para usar en 2017.

    
pregunta Itay080 29.06.2017 - 10:26
fuente

2 respuestas

16

Para el almacenamiento de contraseñas, no se recomiendan los hashes SHA256 con sal no . Esto se debe a que el propósito general SHA256 está diseñado para ser rápido. Rápido es exactamente lo que no desea para un algoritmo de hash de contraseña, ya que hace que los ataques de fuerza bruta y de diccionario sean mucho más eficientes.

Los hash de almacenamiento de contraseñas están diseñados para requerir una cierta carga de trabajo y, en algunos casos, un requisito mínimo de memoria. El buen esquema de almacenamiento de contraseñas está diseñado para ser difícil de serializar y / o optimizar.

El esquema de almacenamiento de contraseña recomendado en 2017 es el hash BCrypt, con PBKDF2 como opción alternativa, pero un poco menos considerada.

Para obtener una respuesta más completa, lea la sec. a href="https://security.stackexchange.com/users/655/thomas-pornin"> Thomas Pornin .

    
respondido por el Jacco 29.06.2017 - 10:38
fuente
1

Podría ser: si cumple con su evaluación de riesgo por las amenazas potenciales que siente.

Pero le recomendaría que utilice una función de derivación basada en contraseña. Estas son funciones de estilo basadas en hash ideales para el almacenamiento de contraseñas.

Busque en PBKF # 2 su aplicación de C #. También existe el Bcrypt ampliamente utilizado (aunque yo uso el primero con C # como es nativo)

Esto puede ser de ayuda: enlace

Pero le recomiendo que consulte la documentación de MSDN para obtener información actualizada.

    
respondido por el ISMSDEV 29.06.2017 - 10:37
fuente

Lea otras preguntas en las etiquetas