問題タブ [scrypt]

この質問は申し訳ありませんが、私は尋ねていました。MD5を使用するとハッシュが取得されるため、パスワードを取得するには、同じハッシュが見つかるまですべての単語をハッシュします。

しかし、pbkdf2、bcrypt、scryptなどの鍵導出アルゴリズムでは、ハッカーは何を探す必要がありますか？または、すべての単語に対して同じアルゴリズムを作成して、同じ鍵導出を取得しますか？

このばかげた質問でごめんなさい。

Scryptが私のマシンにインストールされていないようです。ここにWindows用のバージョンをインストールしました。Visual Studioの無料版を使用し、OpenSSL 32ビットをインストールし、BCryptをコンパイルして成功しました。しかし、SCryptはこのエラーを返します：

更新：ライブラリをコピーしましたが、別のエラーが発生します：

Update2：GCCを使用してコンパイルしたくない：

とはありませ-mno-cygwinんgcc --help

nを編集：

MD5 を使用してソルト化およびハッシュ化された従来のパスワードのデータベースがあります。データがより安全になるようにシステムを更新したいと思います。

最初のオプションは、ユーザーがログインして一定期間後に古いユーザーを非アクティブ化するときに、ユーザーを新しいハッシュ スキーム (Salt + Scrypt または PBKDF2 HMACSHA256) に移行することです。これにより、ユーザーは自動的にハッシュを更新するパスワード回復機能を使用する必要があります。

全員を即座にアップグレードできるようにする別のオプションは、既存の MD5 ハッシュを取得し、それぞれに新しいランダムなソルト値を追加してから、新しいハッシュ スキーム (Salt + Scrypt または PBKDF2 HMACSHA256) を使用して結果をハッシュし、その値を保存することです。データベースに移動し、古い値を削除します。

次に、ユーザーがログインするときに、古い方法を適用してから新しい方法を適用する必要があります。私は 2 番目のオプションの方が気に入っています。これにより、古い安全でないハッシュをデータベースから遅かれ早かれすべて削除できるからです。

既存のハッシュをソルトして再ハッシュしても安全ですか? MD5 は非常に壊れているので、スクリプトを実行してパスワードをハッシュ解除し、新しいスキームを使用してパスワードを再ハッシュできますか?

それとも、両方のオプションを組み合わせて実行するのが最善の解決策でしょうか? こうすれば、データベース内の既存の MD5 ハッシュをセキュリティで保護されていないままにしておく必要がなくなり、一定期間、ユーザーを新しいシステムに移行できますか?

私は一晩中それを探していましたが、クロスプラットフォームの bcrypt python ライブラリでさえ見つかりません。Cライブラリに切り替えて、独自のラッパーを作成する必要がありますか、それとも他の方法がありますか?

最大時間パラメータを理解しているように：

Pythonがその時間だけハッシュすることを意味します。

ただし、.76 まで下げることができ、それでも復号化されます

これの原因は何ですか？復号化の maxtime = 暗号化の maxtime が必要ないのはなぜですか?

Google で検索しましたが、 Cryptsharpライブラリを使用した Scrypt の使用法 (パスワードをハッシュするため) のコード サンプルが見つかりません。

パスワードをハッシュ化するためのサンプルを提供していただけますか?

SCrypt ライブラリを XCode Objective-C プロジェクトに追加したいと考えています。ただし、次のタイプのエラーが非常に多く発生しています。

これについてどうしますか？scrypt ライブラリを XCode に追加したことのある人はいますか?