Le 23/12/2016 à 17h 21

L’article fait mention de SHA-128 qui n’existe pas et en parlant des fonctions de hachage laisse entendre qu’utiliser des fonctions généralistes comme SHA est une pratique conseillée pour stocker des empreintes de mots de passe. En pratique il faut exécuter des itérations de plusieurs milliers de fois mais cela s’exécutera tout de même très rapidement sur GPU lors d’une tentative de cassage (cf. Anatomy of a hack: even your ‘complicated’ password is easy to crack), il vaut donc mieux se tourner vers des fonctions dédiés comme bcrypt ou des KDF (key derivation function) dédiés comme Argon2 dont les accès mémoire rendent le cassage par GPU particulièrement lent.