MD5 a SHA1 nejsou hashovací funkce pro hesla. GPU crackers prolomí miliardy SHA-256 hashů za sekundu. Potřebujete pomalý algoritmus.
Porovnání¶
- Argon2id: Doporučen OWASP, memory-hard, nejbezpečnější
- bcrypt: Prověřený časem, 72B limit
- scrypt: Memory-hard, méně používaný
- PBKDF2: FIPS kompatibilní, ale GPU-friendly
Argon2id — doporučená konfigurace¶
from argon2 import PasswordHasher ph = PasswordHasher( time_cost=3, # iterace memory_cost=65536, # 64 MB parallelism=4, # vlákna hash_len=32, salt_len=16, type=argon2.Type.ID # hybrid ) hash = ph.hash(“heslo”) ph.verify(hash, “heslo”) # True nebo VerifyMismatchError
bcrypt¶
import bcrypt hashed = bcrypt.hashpw(b”heslo”, bcrypt.gensalt(rounds=12)) bcrypt.checkpw(b”heslo”, hashed) # True
Klíčový takeaway¶
Argon2id pro nové projekty, bcrypt pokud potřebujete kompatibilitu. Nikdy MD5, SHA1, SHA256 pro hesla.
securitypasswordhashingargon2