Merhabalar,
Projemde kullanıcı parolalarını
bcrypt ile hashliyorum (cost=12 civarı). Sistem gayet stabil çalışıyor ama
Argon2id algoritmasının güvenlik açısından daha güncel ve güçlü olduğu konuşuluyor.
Araştırdığım kadarıyla Argon2idnin memory-hard yapısı sayesinde GPU/ASIC tabanlı brute-force saldırılarına karşı bcrypte göre daha dayanıklı olduğu söyleniyor.
Ama öte yandan bcrypt uzun yıllardır güvenilirliğini kanıtlamış, neredeyse her platformda desteklenen bir yöntem.
Aklımdaki sorular:
- Argon2idye geçmek gerçekten güvenlik açısından fark yaratır mı, yoksa fark teorik düzeyde mi kalır?
- Performans açısından (özellikle login yoğun sistemlerde) sunucuya ciddi yük bindirir mi?
- Mevcut bcrypt hashleriyle kullanıcıları kademeli olarak Argon2idye taşımak için en mantıklı yöntem nedir? (örneğin kullanıcı login olduğunda yeniden hashleme gibi)
Kısacası:
Şu an bcrypt kullanan bir proje için Argon2idye geçmek gerçekten değer mi, yoksa bcrypt hâlâ yeterince güvenli mi diyorsunuz?
Bu konuda tecrübesi veya görüşü olan varsa çok sevinirim
Şimdiden teşekkürler.