PBKDF2
¿Qué es PBKDF2?
PBKDF2Función de derivación de claves basada en contraseña definida en PKCS #5 / RFC 8018 que aplica una función pseudoaleatoria con un número configurable de iteraciones y sal.
PBKDF2 (Password-Based Key Derivation Function 2) está definida en PKCS #5 v2.1 / RFC 8018 y deriva una clave criptográfica a partir de una contraseña aplicando repetidamente una función pseudoaleatoria, normalmente HMAC-SHA-256 o HMAC-SHA-512, sobre la contraseña y una sal durante un número configurable de iteraciones. La lentitud por iteraciones y la sal por usuario encarecen los ataques con tablas precomputadas y fuerza bruta. PBKDF2 se utiliza ampliamente (WPA2, iOS/macOS, TLS, LUKS, 1Password) y mantiene aprobación FIPS, pero solo es CPU-hard, por lo que atacantes con GPU o ASIC tienen ventaja frente a las funciones con coste en memoria. Para sistemas nuevos se prefiere Argon2id o scrypt; OWASP recomienda en 2025 al menos 600 000 iteraciones de PBKDF2-HMAC-SHA-256.
● Ejemplos
- 01
WPA2 deriva la PMK con PBKDF2-HMAC-SHA-1 y 4096 iteraciones sobre SSID y passphrase.
- 02
1Password y LastPass han utilizado PBKDF2-HMAC-SHA-256 para derivar claves de bóveda a partir de la contraseña maestra.
● Preguntas frecuentes
¿Qué es PBKDF2?
Función de derivación de claves basada en contraseña definida en PKCS #5 / RFC 8018 que aplica una función pseudoaleatoria con un número configurable de iteraciones y sal. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa PBKDF2?
Función de derivación de claves basada en contraseña definida en PKCS #5 / RFC 8018 que aplica una función pseudoaleatoria con un número configurable de iteraciones y sal.
¿Cómo defenderse de PBKDF2?
Las defensas contra PBKDF2 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para PBKDF2?
Nombres alternativos comunes: Password-Based KDF 2, PKCS #5 v2.1.