Poll
image

Password hashing:

maandag 9 januari 2023, 16:21 door Redactie, 13 reacties
pbkdf2
21.41%
argon2
16.24%
bcrypt
41.38%
Anders, namelijk
20.98%
Reacties (13)
09-01-2023, 20:17 door Anoniem
Bcrypt op Blowfish van Bruce S.... 'Bruce S. has recommended migrating to his Blowfish successor' staat al jaren op wikipedia...

Hoort die wel in het lijstje (stemmen wel verdacht veel op zie ik....).
09-01-2023, 20:36 door Anoniem
ROT16
09-01-2023, 21:46 door Anoniem
ROT13
10-01-2023, 08:34 door Anoniem
ROT10
10-01-2023, 10:12 door Anoniem
Argon2id all the things.
10-01-2023, 10:12 door Erik van Straten - Bijgewerkt: 10-01-2023, 10:13
Ik hoop dat implementeerders niet uitgaan van de stemuitslag of de adviezen hierboven, maar zich goed in de materie verdiepen gebruikmakend van betrouwbare bronnen.

Bijvoorbeeld hier: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
10-01-2023, 11:08 door Anoniem
GOST512
10-01-2023, 16:28 door Anoniem
Wat ik vroeger gebruikte was zo iets als dit: hash(password+username+fixed_string)

Als ik wachtwoorden serieus zou moeten nemen voor een project, dan zou ik waarschijnlijk in een aparte kluis opslaan:
- Aparte machine, gehardened en goed ingestelde logging+Intrusion Alerts;
- Encrypted database met dagelijkse backups; (En backups testen!)
- Sterke hash algoritme met salt en pepper.

Vergeet ik nog iets?
10-01-2023, 16:28 door Anoniem
Het Woudlopershandboek van Kwik, Kwek en Kwak.
13-01-2023, 13:46 door Anoniem
Door Anoniem: Wat ik vroeger gebruikte was zo iets als dit: hash(password+username+fixed_string)

Als ik wachtwoorden serieus zou moeten nemen voor een project, dan zou ik waarschijnlijk in een aparte kluis opslaan:
- Aparte machine, gehardened en goed ingestelde logging+Intrusion Alerts;
- Encrypted database met dagelijkse backups; (En backups testen!)
- Sterke hash algoritme met salt en pepper.

Vergeet ik nog iets?

Dan snap je niet waar het over gaat. ;) Passwords moeten geverifieerd kunnen worden en als je ze in een kluis stopt is dat niet mogelijk.
14-01-2023, 08:43 door Anoniem
Anders: een zelf geknutseld algoritme op basis van MD4
15-01-2023, 15:01 door Anoniem
19-01-2023, 09:51 door Erik van Straten - Bijgewerkt: 19-01-2023, 09:54
Ondertussen staat er een nieuwe poll op de voorpagina. Hoewel je op deze pagina nog steeds kunt stemmen, verwacht ik geen grote veranderingen meer.

Triest resultaat voor een security site
De huidige stand is, van hoog naar laag:
1) bcrypt: 41,62%
2) PBKDF2: 21,53%
3) anders: 20,95%
4) Argon2: 15,9%

Ruim 6 jaar geleden schreef Aaron Toponce in [1], verder onderbouwd in [2]:
TL;DR
In order of preference, hash passwords with:
1) Argon2
2) scrypt
3) bcrypt
4) PBKDF2

Do not store passwords with:
[...](lange lijst waarin BASE64 e.d. ontbreken)

Realiseer je dat adviezen in de loop van de tijd veranderen omdat ook dreigingen dat doen, en er daarom betere oplossingen komen. Baseer je dus op betrouwbare en actueel gehouden bronnen, zoals https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html. Verdiep je in de juiste instellingen die sterk afhankelijk kunnen zijn van jouw doelgroep (devices met zwakke CPU en weinig geheugen versus het tegenovergestelde).

[1] https://pthree.org/2016/06/28/lets-talk-password-hashing/

[2] https://pthree.org/2016/06/29/further-investigation-into-scrypt-and-argon2-password-hashing/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.