適切なPBKDF2設定についていくつか質問があります。私は答えをグーグルで検索し、ほとんど手ぶらで出てきました。
基本的に、2012年のテクノロジーの状態を考慮して、入力pbkdf2.php(ここにあります)の適切な値を知りたいと思います。私がエンコードするパスワードが非政府機関によってハッキングされないという合理的な期待を私に与えるものは何ですか?次の数年?
これが私が考えていることです:
define("PBKDF2_HASH_ALGORITHM", "sha512");
define("PBKDF2_ITERATIONS", 20000);
define("PBKDF2_SALT_BYTES", 512);
define("PBKDF2_HASH_BYTES", 512);
優れたセキュリティを実現するために、他にも多くのことが関係していることを理解しています。これが私が使用している他のセキュリティ対策の概要です:
- 少なくとも2つの数字、2つの文字、および2つの記号を含む12桁のパスワード
- 必要なパスワードは6か月ごとに変更されます
- php mysqliは、すべてのデータベースアクセス用のステートメントを準備しました
- すべてのフォームのトークン
- 誤ったログインの場合は5秒の遅延、
- 同じIPからの10回の誤ったログイン後のブラックリスト
- 間違ったログインとブラックリストは同じ応答をトリガーします
- HTTPS
- 私はセッションを使用しており、ページにアクセスするたびに、10ページごとおよび機密性の高いページでセッション識別子を変更します。
私は何かが足りないのですか?