Il 7 marzo 2016 13:06, Giuseppe Paternò (Gippa) <[email protected]> ha scritto:
> Ora, non pretendo la sicurezza assoluta visto il contorno, ma vorrei evitare > che con un semplice hexdump venga fuori la password.... almeno lo faccio > impegnare un po' > > Cosa mi consigliate per fare una string ubfuscation, preferibilmente in > golang? ... dopo la lunga e interessante discussione, riprendo il quesito originale di Gippa. No potresti eseguire ricorsivamente, decine o centinaia di migliaia di volte, l'hash (es. sha256) della password? Se in fase di login impieghi anche 10 secondi per la verifica, non importa a nessuno. Questa soluzione rende impraticabile qualsiasi attacco a forza bruta anche se l'hash è chiaramente visibile nel codice... E. -- Enrico Ardizzoni / IW4DZV ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
