<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">2015-10-30 16:39 GMT+01:00 Jonas Maebe <span dir="ltr"><<a href="mailto:jonas.maebe@elis.ugent.be" target="_blank">jonas.maebe@elis.ugent.be</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
Frederic Da Vitoria wrote on Fri, 30 Oct 2015:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Do you really need to compare them or simply to validate them? I ask<br>
because in one project I worked on for an insurance company, we were<br>
forbidden to store the passwords. We stored only a kind of checksum for<br>
them. With something like CRC32 or even a higher resolution algorithm, you<br>
</blockquote>
<br></span>
Never ever use CRC32 in a crypto context, it's completely unsuited and easily cracked. The subject of this thread is already about finding an implementation for scrypt, which is a (at this time considered) secure hashing algorithm.<span class="HOEnZb"></span><br></blockquote></div><br></div><div class="gmail_extra">My point is precisely that in this situation, there would be nothing to crypt. Just check validity. So use CRC64 if you want (the size difference won't probably be relevant by current standards), but don't store the actual password. What isn't there can't be cracked, not even with future technology :-)<br clear="all"></div><div class="gmail_extra"><br>-- <br><div class="gmail_signature">Frederic Da Vitoria<br>(davitof)<br><br>Membre de l'April - « promouvoir et défendre le logiciel libre » - <a href="http://www.april.org" target="_blank">http://www.april.org</a><br></div>
</div></div>