Passwort-Verschlüsselung: PBKDF2 (mit sha512 x 1000) vs Bcrypt
Die ich gelesen habe über die Gawker Vorfall und mehrere Artikel aufgetaucht, in Bezug auf nur mit bcrypt hash-Passwörter und ich möchte sicherstellen, dass meine hashing-Mechanismus ist sicher genug, um zu vermeiden, wechseln Sie zu einer anderen Methode. In meiner aktuellen Anwendung habe ich entschieden sich für eine PBKDF2 Umsetzung Nutzung von sha2-512 und ein minimum von 1000 Iterationen.
Kann ich Fragen, für Meinungen, die auf mit PBKDF2 vs Bcrypt und ob oder nicht sollte ich implementieren?
InformationsquelleAutor der Frage buggedcom | 2010-12-13
Du musst angemeldet sein, um einen Kommentar abzugeben.
Du bist gut mit PBKDF2, keine Notwendigkeit zu springen, um bcrypt.
Obwohl die Empfehlung 1000 Iterationen gemacht wurde, im Jahr 2000, jetzt wollen Sie viel mehr.
Auch, Sie sollten mehr Sorgfalt bei der Verwendung von bcrypt:
Von scrypt-Papier [PDF]
Das heißt, es ist auch scrypt.
Vergleiche wäre unvollständig, ohne die Tabelle aus der scrypt Papier oben erwähnt:
Iteration zählt für PBKDF2-HMAC-SHA256 verwendet, es gibt 86,000 und 4,300,000.
InformationsquelleAutor der Antwort dchest
Kommentar (re: der Titel):
Meine Meinung:
Verwenden PBKDF2 über Bcrypt. (Ich habe einfach mehr Vertrauen in SHA als Blofish, ohne Grund)
Als ob Sie, sollte die Implementierung der änderung', ich weiß nicht, was Ihr bittet.
Bearbeitet werden, um mehr eindeutig getrennt werden können, die Verschlüsselung - /hashing Diskussion aus, die besagt meine Vorlieben w/r/t-Algorithmus.
InformationsquelleAutor der Antwort Slartibartfast