<div dir="ltr"><div dir="ltr">That's great!<div><br></div><div>Are there any plans to also include algorithms like bcrypt and scrypt given that they are stronger than pbkdf2 for GPU/FPGA-using attackers?</div><div><br>
Also, can the same warning be placed on older documentations like the 2.7 one given the large amount of people still using 2.7?</div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jan 8, 2014 at 7:30 PM, Ronald Oussoren <span dir="ltr"><<a href="mailto:ronaldoussoren@mac.com" target="_blank">ronaldoussoren@mac.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="im"><div><br><br>On Jan 08, 2014, at 11:17 AM, Terry Chia <<a href="mailto:terrycwk1994@gmail.com" target="_blank">terrycwk1994@gmail.com</a>> wrote:<br>
<br></div><div><blockquote type="cite"><div><div dir="ltr">Hi all,<div><br></div><div>I would like to propose that a new library for strong password hashing algorithms[1]</div><div>be included in the standard library. The proposed library should have implementations</div>
<div>of one or more strong password hashes like pbkdf2, bcrypt or scrypt.</div><div><br></div><div>There already exist third party libraries like passlib[2] that accomplishes the same thing</div><div>but I feel that inclusion of the algorithms in the standard library would do a lot to help</div>
<div>people that are not as security-aware to do the right thing when it comes to password</div><div>storage.</div><div><br></div><div>Alternatively, if the idea of adding the algorithms into the standard library does not have</div>
<div>much support, I would like to see a warning added to the hashlib[3] documentation</div><div>discouraging its use for password hashing.</div></div></div></blockquote><span> </span></div></div><div><span>Python 3.4 will include hash lib.pbkdf2_hmac, see <</span><span style="line-height:1.5"><a href="http://docs.python.org/3.4/library/hashlib.html#key-derivation-function" target="_blank">http://docs.python.org/3.4/library/hashlib.html#key-derivation-function</a>>. That documentation also warns about using a plain hash function for creating password hashes.</span></div>
<span class="HOEnZb"><font color="#888888"><div><span style="line-height:1.5"><br></span></div><div><span style="line-height:1.5">Ronald</span></div><div><br></div><div><blockquote type="cite"><div></div></blockquote></div>
</font></span></div></blockquote></div><br></div>