パスワードハッシュを実装する方法について、SOに関する多くの投稿を読みました。そして、パスワードを何度もハッシュ化するべきではないことを読みました (まあ、それはあまり役に立たないと言われています)。しかし、なぜですか?ハッシュ化されたパスワードを 10,000,000 回繰り返すとします (ユーザーは登録が完了するまで 3 秒待つか、AJAX 要求を送信することでそれを行うことができるため)。
では、攻撃者がどのようにして私のデータベースを盗み、私がパスワードを 10,000,000 回繰り返していることを知っていたとしても (最悪のシナリオ)、ユーザーのパスワードを突き止めることができるのでしょうか? 彼はレインボー テーブルを作成できませんでした。非常に時間がかかるためです (パスワードのハッシュには時間がかかり、ハッシュを何度もハッシュするにはさらに時間がかかります)。ブルート フォースも実際には不可能です。