<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Dec 24, 2013 at 1:03 PM, Krisztián Pintér <span dir="ltr"><<a href="mailto:pinterkr@gmail.com" target="_blank">pinterkr@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
Arnold Reinhold (at Tuesday, December 24, 2013, 6:21:29 AM):<br>
<div class="im"><br>
> to substitute a better algorithm when it comes along. And is there<br>
> any cryptographer out there who knows the algorithm and believes<br>
> that scrypt could be weaker than PBKDF2? Seriously?<br>
<br>
</div>yep, plenty. for example all that knows the principle of not using<br>
branching/indexing on secret. pbkdf2 does not do that, and therefore<br>
safe against cache timing attacks. the same can not be said about<br>
either bcrypt, which uses secret based s-boxes, but especially not<br>
scrypt, which uses secret based memory access wildly.<br></blockquote><div><br></div><div>I agree that these are good reasons to look for improvements. (In fact, the memory access concern with scrypt was one of the main reasons the Password Hashing Competition was started.) I wholeheartedly disagree that they're good reasons to use PBKDF2 over scrypt (which coincidentally uses PBKDF2 itself,) since scrypt is still far superior at the main goal: Making a wholesale offline attack against all of the passwords in a user database prohibitively expensive.</div>
</div></div></div>