Abuse Melding

Je hebt een klacht over de onderstaande posting:

17-12-2012, 10:04 door Anoniem

Is het niet meer van deze tijd om enkelvoudige hashes van passwords op te slaan. Of het zou niet meer van deze tijd móeten zijn. Voor de afleiding van sleutels uit passwords heb ik geleerd dat je niet gewoon de SHA-1 moet nemen omdat 'ze' anders gewoon een dictonary attack kunnen doen. Wat PKCS#5 voorschrijft in zijn Password Based Key Derivation Function (PBKDF nr 1 of 2) is dat je tenminste 1000 keer ge-itereerd moet hashen, of 1 miljoen keer. Dus niet H(salt || pw) maar H( H( H( ... H(salt || pw) ...) ) ) (met H je favoriete hash functie) En dat reseultaat sla je dan op. Dit kost per logon van een gebruiker misschien een paar miliseconden extra, maar de tijd die een rainbow table maken erin moet inversteren wordt ook die factor 1000 tot 1 miljoen groter. Als je de rainbow table eenmaal hebt, helpt het niet meer natuurlijk.

Beschrijf je klacht (Optioneel):

captcha