現在のアプリケーションでパスワード暗号化に使用されるアルゴリズムを探しています。私は、このリンクパスワードのハッシングアルゴリズム
https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet
Argon2 [* 7]パスワードハッシュの競争の勝者で、新しいアプリケーションのための最初の選択肢として考慮されるべきで出くわしました。 PBKDF2 [* 4]多くのプラットフォームでのFIPS認証またはエンタープライズサポートが必要な場合。 scrypt [* 5]ハードウェアアクセラレーション攻撃のいずれかまたはすべてに抵抗する必要がありますが、サポートはしていません。 bcryptここで、PBKDF2またはscryptのサポートは利用できません。
私はこれらの以前のプロジェクトを使用していません。私はSHa-256について知っています。しかし、私はどちらがパスワードを暗号化するための最良のアルゴリズムであるかを知りたい。計算、メモリの使用、戻りハッシュ値の長さ、salt値を使用する必要があるかどうかを検討してください。
彼らはまた、アルゴン2を示唆していますが、これは比較的新しいものです。それを使うことはできますか?それはお勧めですか?
これらについての任意の提案。
SHA-256で十分ではありませんか? –
**いいえSHA-256は十分ではありません**、それはブルートフォース攻撃が実行可能であることを意味します。必要なのは、一般的な約100msのCPU時間とリソースを消費するパスワードハッシング方式です.HPA-256は、一般的なパスワードで約1秒で実行されます。 – zaph