Bien, comencé a trabajar para una empresa de consultoría de seguridad y recomendamos SHA 256 (con salt) para el hashing de contraseñas porque MD5 es demasiado débil. He leído algunas respuestas brillantes (¡la lista es demasiado larga!) En sec.SE sobre el hashing de la contraseña durante los últimos meses y sería un pecado no intentar demostrarles a mis colegas y adultos mayores que MD5 y SHA no son adecuado para el hashing de contraseñas.
Pensé que sería una buena idea crear un PoC (bases de datos de demostración que contenga contraseñas con MD5, SHA 256 y bcrypt e intentar medir el tiempo necesario para generar el hash) acompañado de algunas referencias estándar. Estoy dispuesto a hacer son:
- Usar SHA 256 sobre MD5 para el hashing de contraseñas no mejora la seguridad. Un algoritmo de hashing de contraseñas (bcrypt, PBKDF2) sería una opción mucho mejor para almacenar contraseñas, por supuesto, con sales únicas.
- Algunas referencias estándar para apoyar estas vistas. Las referencias son importantes para apoyar las vistas.
p.s. Tengo experiencia en programación, pero soy un novato en lo que respecta al descifrado de contraseñas basado en hardware. No es una pregunta "dame el código"; Solo pido ideas y sugerencias para hacer de este un mejor PoC.