Argon2id parametrelerini (m, t, p) interaktif ayarla, tarayıcıda hash süresini ölç, RTX 4090 saldırısına karşı kaç yıl dayanacağını gör. Production KDF konfigürasyonunu sezgi ile değil rakamla seç.
argon2 · kdf · password-hashing · owasp
"Argon2id memory-hard ve GPU-resistant" deniyor — peki memory ne kadar, kaç iterasyon, kaç parallel? OWASP'ın m=65536, t=3, p=4 önerisinin arkasındaki mantık nedir? Bu lab parametreleri kaydır, latency'yi ölç, gerçek RTX 4090 saldırı throughput'una karşı projeksiyonu gör.
Tarayıcı notu: SubtleCrypto'da Argon2 yoktur. Gecikme ölçümü için PBKDF2-SHA-512 kullanılır. Crack-time projeksiyonları gerçek Argon2id benchmark'larına dayanır.
m artışı GPU bellek sınırını aşar → paralel saldırı sayısı düşer. t artışı doğrusal yavaşlatır. p CPU thread'lerini etkiler, GPU saldırısını azaltmaz.
| Parametre | Etki | OWASP min | OWASP rec |
|---|---|---|---|
| m (memory, KiB) | GPU bellek sınırı → paralel saldırı düşer | 19456 (19 MiB) | 65536 (64 MiB) |
| t (iterations) | Doğrusal yavaşlama | 2 | 3 |
| p (parallelism) | Server thread sayısı | 1 | 4 |
Server tarafında 500ms hedef latency tut. Login akışı tek parola hash'i; 500ms kullanıcıyı yormuyor ama saldırgan için kritik:
CPU-bound: Node.js worker thread'inde çalıştır, event loop'u bloklamasın. @node-rs/argon2 veya argon2 (native) önerilir.
Bu lab gerçek Argon2id'yi çalıştırmıyor — SubtleCrypto'da Argon2 implementation'ı yok. Latency ölçümü için PBKDF2-SHA-512 stand-in olarak kullanılıyor. Crack-time projeksiyonları gerçek Argon2id benchmark'larından (akademik papers + community 2024).