O OpenBSD usa bcrypt por padrão?
Por que toda distribuição Linux moderna não usa o BCRYPT?
http://codahale.com/how-to-safely-store-a-password/
https://secure.wikimedia.org/wikipedia/en/wiki/Bcrypt
PORQUE????
O OpenBSD usa bcrypt por padrão?
Por que toda distribuição Linux moderna não usa o BCRYPT?
http://codahale.com/how-to-safely-store-a-password/
https://secure.wikimedia.org/wikipedia/en/wiki/Bcrypt
PORQUE????
Respostas:
Um par de razões:
O esquema baseado em BCrypt não é aprovado pelo NIST.
As funções de hash são projetadas para esse tipo de uso, enquanto o Blowfish não era.
A segurança adicional é que o BCrypt se baseia em ser computacionalmente caro, e não no tipo de algoritmo. Confiar em operações computacionalmente caras não é bom para segurança a longo prazo.
Veja http://en.wikipedia.org/wiki/Crypt_%28Unix%29 para alguma discussão sobre isso.
Ulrich Drepper, o mantenedor da glibc, rejeitou o suporte a bcrypt porque não é aprovado pelo NIST. Veja detalhes do artigo bcrypt support for passwords in / etc / shadow
E seu artigo na homepage Criptografia Unix com SHA-256/512