密码存储的组合算法？

Question

合并密码哈希算法是否更安全，例如，Scrypt、Bcrypt、SHA-3等？如果攻击者想要使用专用硬件，那么每个算法都需要一个硬件。然而，我知道有多个算法会增加出现错误和泄漏的可能性。

如果每个密码都有多个算法会产生泄漏，那么对于不同的密码有不同的算法会怎么样呢?如果攻击者只有Bcrypt的硬件，那么他就不能强行使用Scrypt来强制使用密码。

编辑:我指的是合并，hash2(hash1(hash0(密码)。在第二段中，我指的是hash0(P0)、hash1(P1)、hash2(P2)、hash0(P3)、hash1(P4)、hash2(P5)。

编辑: hash0(P0)、hash1(P0)、hash0(P1)、hash1(P1)、.？

Answer 1

在某些自定义硬件(ASIC)方面，不同方案的组合可能有一定的优势，但我认为弊大于弊。

• 我假设有某种固定的时间是用户可以接受的。没有人会在她或他不得不等待几分钟的情况下进行手术。现代密码哈希方案的特点是，它们不仅时间密集，而且内存困难。简单地说，在用户可以接受的时间内，在RAM中创建了一个向量。如果可用的时间较短，则此向量将更小。在多个密码散列方案上分割可接受的时间会导致为每个方案生成向量的时间更短。所以整个过程都变得更难记忆了。
• 与所有密码过程一样，密码哈希方案可能容易受到侧信道攻击。例如，这适用于缓存定时攻击。有几个方案提供了更多的目标。
• 正如提问者已经正确指出的那样，几种方案对bug的敏感性更大。

我宁愿依赖一种方案，如Argon2id，并花费所有可用的时间，使这个方法尽可能的内存困难。