Quote Originariamente inviata da ciro78 Visualizza il messaggio
io devo crittografare dei dati ma il cliente ha parlato di sha256. Mi ero documentato online ma volevo essere certo che il cliente avesse sbagliato.
Se sta parlando di crittografare dati la richiesta non ha senso - da un hash non torni indietro; ma se sta parlando di password la richiesta è sensatissima - le password non vanno mai memorizzate in chiaro, ma come hash con salt. Quando l'utente vuole effettuare il login, ri-hashi (con salt) la password che ti dà, e confronti se il risultato è uguale all'hash memorizzato.
Quote Originariamente inviata da Scara95 Visualizza il messaggio
Puoi usarlo al più per le password, certo sha256 da solo è un po' "debole"
Be' oddio, SHA-256 è uno degli hash più robusti in circolazione, certo per evitare attacchi di lookup inverso/rainbow table ovviamente bisogna aggiungerci del salt casuale, ma questo lo sanno anche i bambini ormai. Poi se vogliamo essere paranoici si può fare il giochino di applicare la funzione di hash n volte (stile PBKDF2) per rendere più lento un eventuale bruteforce di ordini di grandezza, ma anche solo avere un hash robusto con salt credo sia meglio del 95% del software che c'è in giro.