@mavori Unabhängig von der eigentlichen Frage: Bitte nicht sha256 für Passwort Hashes. Sha-2 ist generell dafür ungeeignet, da für Passwort Hashing andere Anforderungen (cache hardness, time hardness, ...) gelten als für generelle kryptographische Hashes (pre-image, 2nd pre-image und collision resistance). sha-2 kann nur mit sehr vielen Runden als Primitive die Teil von bspw. PBKDF2 ist eingesetzt werden, aber selbst so gibt's da keine cache hardness.
Für Password Hashing lieber bcrypt/scrypt nutzen, für Passwort-basierte Schlüssel argon2id.
Pepper ist dagegen eher irrelevant, ein guter randomisierter Salt reicht. Mehr dazu:
https://soatok.blog/2022/12/29/what-we-do-in-the-etc-shadow-cryptography-with-passwords/
Aber: Idealerweise nutzt man keine Passwörter. Passkeys (also WebAuthn) ist wie schon angesprochen die beste Option.
Wenn's Passwörter sein müssen dann ist die beste Variante einen Passwort-Manager vor zu installieren incl. Passwort-Generator: Es den MA einfach machen eindeutige und sichere Passwörter (Password Reuse ist eins der Hauptprobleme) zu nutzen die auch vor Allem lang sind (10 Zeichen sich gerade so okay).
=> More informations about this toot | View the thread | More toots from ljrk@todon.eu
=> View mavori@swiss.social profile
text/geminiThis content has been proxied by September (ba2dc).