¿Cifrar contraseñas con SHA1 y + salt bcrypt?

Si cifro una contraseña con SHA1 y luego le agrego sal y luego la cifro con bcrypt. ¿Es mucho más seguro que agregar sal a una contraseña no cifrada y luego cifrarla con bcrypt?

Gracias por su atención.

preguntado el 12 de junio de 12 a las 17:06

1 Respuestas

Calcular un hash SHA-1 de la contraseña antes de pasarla a bcrypt no proporcionará ninguna seguridad adicional.

En el mejor de los casos, conservará la seguridad de bcrypt. La aplicación de SHA-1 a la contraseña inicial no agrega entropía adicional ni amplía el rango del resultado de ninguna manera y, por lo tanto, la seguridad del resultado será, en el mejor de los casos, tan buena como la de bcrypt.

Pero antoine jouxLa investigación de ha demostrado que probablemente sea incluso peor que eso. Con multicolisiones, incluso podría suceder que debilite la seguridad para que el esquema resultante sea uniforme. menos seguro que usar bcrypt solo.

En general, las primitivas criptográficas deberían usarse mejor como se especifica. Esto le da al menos una pequeña garantía de que el resultado será seguro: agregar a un esquema manualmente "para mejorar" las cosas casi siempre terminará en algo que es menos seguro que el original.

Respondido el 14 de junio de 12 a las 15:06

No es la respuesta que estás buscando? Examinar otras preguntas etiquetadas or haz tu propia pregunta.