Bcrypt

Volgens Rickey Gevers gaat het bij Nederlandse slachtoffers in 22.000 gevallen om een bcrypt-hash.

Als iemand inlogt kijk je eerst of je de bcrypt hash matched met het wachtwoord.

Bcrypt is goed, maar je moet wel mee gaan met de tijd.

Bcrypt is wel degelijk een veilige keuze.

DES is niet hardened tegen brute force aanvallen, in tegenstelling tot moderene algoritmes zoals PBKDF2, bcrypt of scrypt.

Goede voorbeelden zijn PBKDF2, bcrypt, en scrypt.

Ik snap niet dat onveilige hashes bewaard blijven, als je in je database een mengeling van md5(), sha1(), bcrypt() en weet ik veel wat hebt.

Interessanter is om te weten hoeveel iteraties er werden gebruikt voor de bcrypt hash.

Bcrypt is overigens een van de beste hashing methodes die er zijn.

Bcrypt is samen met PBKDF2 een van de veiligste en beste opties om wachtwoorden te hashen.

Bij de database zou het gaan om negentig mogelijke informatievelden per gebruiker, waaronder gebruikersnaam, met bcrypt gehasht wachtwoord, voor- en achternaam, adres, geboortedatum en PSN- of Xbox Live-id.

Disqus wijst er ook op dat het zijn beveiligingsmethodes sinds 2012 heeft opgevoerd; encryptie gebeurt tegenwoordig met het geavanceerde bcrypt.

En nu ik dacht dat ik alles had gehad, blijkt dat ze wel degelijk weten dat BCRYPT bestaat, en dat niet alleen ze hebben de beste versie gekozen (van de auteur zelf).

Vergeet niet elke paar jaar de 'cost' van bcrypt te verhogen.

Yahoo liet weten dat de wachtwoorden goed waren gehasht (met het robuuste bcrypt-algoritme).

Bcrypt is opzich niks mis mee en ondanks dat sha1 verouderd is, gebruiken ze wel een salt.

De aanval gaat inderdaad over het vinden van deze (tijdelijke) key m.b.v. de encrypted stream, waar bcrypt de key als reproduceerbaar eindproduct heeft voor een salt, passphrase en een x aantal iteraties van het algoritme.

Gebruiken jullie ze naast elkaar tijdens de overgang (de oude alleen wanneer er nog geen bcrypt is)?

Heeft de site een goede beveiliging (bcrypt, pbkdf2, etc) met voldoende rounds is zelfs een debiel slecht wachtwoord veilig.

Het artikel gaat over het Blowfish cipher, bcrypt maakt gebruik van een onderdeel van Blowfish, de key setup phase (omdat die zo duur is).