Foro de elhacker.net

Seguridad Informática => Criptografía => Mensaje iniciado por: Ethicalsk en 6 Septiembre 2017, 02:58



Título: Algoritmo de hash más seguro para guardar passwords en la DB
Publicado por: Ethicalsk en 6 Septiembre 2017, 02:58
Muy buenas! Quería que me recomienden el algoritmo de hash más seguro para almacenar información importante en una DB. Tengo bien entendido que md5 se está desaconcejando ya que tiene problemas de colisiones, por lo tanto debería ser alguno de la familia de SHA... Pero de cuantos bits? 256, 512? Ademas necesitaría agregar un salt... Como debería ser ese salt? de que longitud, de que características? Gracias desde ya por la ayuda!


Título: Re: Algoritmo de hash más seguro para guardar passwords en la DB
Publicado por: engel lex en 6 Septiembre 2017, 03:27
md5 no está desaconsejado por colisión... colisión en modo texto (rango A-Za-z,0-9) es virtualmente imposible en menos de decenas de kb... está dseaqconsejado porque se puede calcular por lotes muy grandes y hay muchas tablas disponibles, por lo que md5+salt no es tan malo... recuerda que si tienes millones de usuarios sin miles de veces por segundo que se tendrá que calcular...

statndard sha-256+salt

alta seguridad y recomendado blowfish...

si usas php, este tiene una funcion, password_hash (http://php.net/manual/es/function.password-hash.php) que te genera un hash en el algoritmo escogido (por defecto blowfish o el más seguro recomendado) y si par password_verify que te facilitan la vida


Título: Re: Algoritmo de hash más seguro para guardar passwords en la DB
Publicado por: AlbertoBSD en 9 Septiembre 2017, 00:19
Como debería ser ese salt? de que longitud, de que características? Gracias desde ya por la ayuda!

El salt debe de ser un arreglo de bytes con valores de 0 a 255 puede ser de longitud fijas, el detalle es que el hash debe de ser almacenado.