Một thực tiễn tốt liên quan đến việc lưu trữ khóa được mã hóa theo mật mã được xác thực đối xứng như AES-256-GCM, với khóa được lấy bằng Argon2 hoặc mã hóa từ cụm mật khẩu do người dùng nhập và muối ngẫu nhiên được lưu trữ dọc theo mật mã. PBKDF2 từng phổ biến thay vì Argon2 hoặc scrypt, nhưng không còn được coi là phương pháp hay nhất.
Argon2 là trạng thái của nghệ thuật, mật mã vẫn có thể phổ biến hơn. Không có một phương pháp hay nhất chắc chắn nào, cụ thể là một số người thích thứ gì đó tiêu chuẩn hơn thứ gì đó an toàn tối đa, một số người thêm hạt tiêu lên trên muối. Cập nhật: và ngày càng nhiều, xác thực hai yếu tố trở thành phương pháp hay nhất.
Nếu bạn xác định thứ gì đó dựa trên cụm mật khẩu/mật khẩu, tôi khuyên dùng Argon2id với các tham số được cân nhắc cẩn thận: thứ gì đó hoạt động thoải mái trên tất cả các nền tảng mục tiêu, nhưng lại gây trở ngại nghiêm trọng cho việc tìm kiếm mật khẩu thô bạo.
Argon2 có phải là tiêu chuẩn NIST hay không?
Argon2 là người chiến thắng trong cuộc thi cuộc thi băm mật khẩu. Điều đó không được tổ chức bởi NIST. Argon2 không được NIST phê duyệt, nhưng được NIST trích dẫn đây (dọc theo Khí cầu, mà tôi cũng thích; nhưng có vẻ như nó đã mất đà sau khi nhận ra rằng nó không rõ ràng về lợi thế so với Argon2):
- Q-B17: Â SP 800-63B Mục 5.1.1.2, Trình xác minh bí mật được ghi nhớ, nói rằng NÊN sử dụng dẫn xuất mật khẩu cứng trong bộ nhớ. PBKDF2, được sử dụng rộng rãi, không khó về bộ nhớ. Các ví dụ về chức năng bộ nhớ cứng đáp ứng yêu cầu này là gì?
- A-B17: Â Văn bản khuyến nghị, nhưng không yêu cầu, việc sử dụng chức năng bộ nhớ cứng để tạo mật khẩu.
  NIST coi tính bảo mật của hàm băm (một chiều) được sử dụng trong dẫn xuất khóa là có tầm quan trọng hàng đầu và do đó yêu cầu sử dụng hàm một chiều đã được phê duyệt (được kiểm tra kỹ lưỡng) trong dẫn xuất khóa. BALLOON là một thuật toán tốn nhiều thời gian và bộ nhớ, cho phép sử dụng hàm một chiều cơ bản đã được phê duyệt, nhưng tiếc là nó chưa được triển khai rộng rãi.Các thuật toán khác như ARGON2 tốn nhiều bộ nhớ và thời gian, nhưng không sử dụng hàm một chiều cơ bản đã được phân tích kỹ lưỡng.
  Mặc dù PBKDF2 khó về thời gian nhưng không khó về bộ nhớ, nhưng nó được triển khai rộng rãi đến mức không thực tế (tại thời điểm này) để đưa ra yêu cầu đối với chức năng dẫn xuất khóa cứng trong bộ nhớ, vì vậy chúng tôi đã trình bày điều này dưới dạng một khuyến nghị (tức là âNÊNâ).
  Hàm dẫn xuất khóa được coi là ít quan trọng hơn hàm một chiều làm cơ sở cho nó, do đó, thông số kỹ thuật ít mang tính quy định hơn trong lĩnh vực này và không chỉ định các thuật toán cụ thể cho dẫn xuất khóa.
Do đó, NIST vẫn chưa từ chối nó là cựu quan chức sự giới thiệu của PBKDF2-HMAC-SHA-1. Đó là mặc dù nó cung cấp rất ít sự bảo vệ trong thời đại mà những kẻ tấn công được tài trợ tốt có thể sử dụng ASIC, hoặc ít nhất là FPGA hoặc GPU, để tìm kiếm mật khẩu. Không rõ ràng rằng vị trí không thể kiểm soát được về mặt kỹ thuật này là độc hại; điều đó trái ngược với quan điểm trước đây của NIST về Kép_EC_DRBG, mục đích rõ ràng là để thúc đẩy tiền điện tử mà tình báo Hoa Kỳ có thể phá vỡ.
