问商品化专用SHA256处理器对IT运营带来的风险是什么？

EN

这样的硬件可能会使依赖PBKDF2密码散列的人的生活更加困难。密码哈希函数是有意慢的--对于诚实的服务器和攻击者来说都是缓慢的。我们希望它的速度尽可能慢，因为对使用它的服务器来说是可以容忍的，这样攻击者就会(希望)慢到不能容忍的地步。

在密码哈希游戏中，被告的优势是密码的复杂性。被告想要一个可以一次验证一个密码的函数，而攻击者必须尝试数以百万或数十亿计的密码。

攻击者的优势是：

• 耐心:攻击者可以花费两周时间破解密码，而被告必须在一秒钟内验证用户的密码(用户没有耐心)。
• 钱:攻击者的硬件预算可能超过被告的预算。
• 并行化:攻击者有许多密码需要尝试，因此可以从能够进行并行计算的硬件(例如集群、GPU，或者仅仅是一群暂时“借用”于大学的PC机，以防攻击者是无聊的学生)而充分受益。
• 专门化:攻击者可以投资于专用硬件(例如您所指的硬件)，从而比被告(因为被告使用的服务器除了验证密码之外还必须做一些有用的事情)每一美元进行更多的哈希操作。

当然，如果密码哈希函数使用SHA-256，那么擅长SHA-256的专用硬件对攻击者来说是一个优势。当然，其他一些密码哈希函数(例如bcrypt和氪石)具有更强的GPU弹性，并且只要没有人开始批量生产专门的bcrypt破解硬件(例如西林克斯的Virtex家族，它嵌入了内存块，因此可以非常高效地计算bcrypt)，就会提供更好的保护。有关更详细的讨论，请参见这个答案。

请注意，虽然SHA-256专用硬件在理论上更容易预先攻击SHA-256 (构建冲突、计算预图像.)，但这些攻击的工作因素在不可行区域仍然很遥远。有关一些分析，请参见这个答案。

这降低了强制使用短密码的时间代价。我认为这意味着你需要重新计算暴力强制设置的成本。如果您所保护的资产价值超过强制执行当前设置的成本，则需要添加更多的迭代、密码复杂性或最小长度要求。

在两周内对所有6-8个数字密码进行野蛮操作要花多少钱？这肯定会改变经济状况，并会影响你如何保护你的资产，除非你已经有了很大的保证金。