5

私は現在、ユーザーごとのランダムソルトでSHA512を使用して、ユーザーパスワードをハッシュし、データベースに保存しています。安価なGPUを使用してブルートフォース攻撃のパスワードについて説明するこの記事を読むまでは、これはかなり安全だと思いました。

bcryptに切り替える代わりに、SHA512を複数回使用するだけでセキュリティが向上しますか?プロセスを遅くし、ブルートフォースをはるかに困難にするために、それ自体の出力で100回または1000回実行しますか?または、SHA512を繰り返しても、実際にはセキュリティ上のメリットはありませんか?

4

1 に答える 1

5

反復手法はよく知られており、特にレインボーテーブルに対するハッシュに効果的です。Rfc2898DeriveBytesのようなクラスは、適切なパスワードを導出するために最大10Kの反復を使用します。ハッシュを反復すると、文字列をクラックできるように文字列の複数の反復を保存する必要があるため、ブルートフォースで元の文字列に戻すことがより困難になります。これは、ハッシュが大きい(つまり、SHA512)大量のデータを意味します。

于 2011-06-06T08:13:24.813 に答える