dado:¿se mejoró bcrypt con la frase de contraseña hmac'd?
$ sal - una cadena generada pseudo-aleatoria de longitud suficiente
$ pimienta - una suficientemente fuerte clave privada, conocida sólo por los administradores de la db donde se almacenan las frases de contraseña
verías
$ = hash de bcrypt (HMAC ($ userpassphrase, $ pimienta), $ sal)
siendo significativamente superior a
$ hash = bcrypt ($ userpassphrase, $ salt)
teniendo en cuenta la carga adicional de administrar/almacenar $ pimienta y $ sal?
mi suposición es que el hmac no fortalece de manera significativa el $ hash resultante, y la carga de almacenar $ pimienta supera cualquier supuesto beneficio ... pero me encantaría escuchar opiniones informadas.
¿Qué quiere decir con "passphrse privado"? ¿Quién tiene acceso a eso? ¿Cómo/dónde lo obtienes? – Kaito
lo siento si eso no estaba claro - la clave privada para el hmac. editaré lo de arriba para aclarar, ¡gracias! –