Projemde kullanıcı parolalarını bcrypt ile hashliyorum (cost=12 civarı). Sistem gayet stabil çalışıyor ama Argon2id algoritmasının güvenlik açısından daha güncel ve güçlü olduğu konuşuluyor.
Araştırdığım kadarıyla Argon2idnin memory-hard yapısı sayesinde GPU/ASIC tabanlı brute-force saldırılarına karşı bcrypte göre daha dayanıklı olduğu söyleniyor.
Ama öte yandan bcrypt uzun yıllardır güvenilirliğini kanıtlamış, neredeyse her platformda desteklenen bir yöntem.
Aklımdaki sorular:
- Argon2idye geçmek gerçekten güvenlik açısından fark yaratır mı, yoksa fark teorik düzeyde mi kalır?
- Performans açısından (özellikle login yoğun sistemlerde) sunucuya ciddi yük bindirir mi?
- Mevcut bcrypt hashleriyle kullanıcıları kademeli olarak Argon2idye taşımak için en mantıklı yöntem nedir? (örneğin kullanıcı login olduğunda yeniden hashleme gibi)
Şu an bcrypt kullanan bir proje için Argon2idye geçmek gerçekten değer mi, yoksa bcrypt hâlâ yeterince güvenli mi diyorsunuz?
Bu konuda tecrübesi veya görüşü olan varsa çok sevinirim
Şimdiden teşekkürler.