Argon2.

Argon2 est une fonction de derivation de cles et de hachage de mots de passe a cout memoire concue par Biryukov, Dinu et Khovratovich, retenue comme laureate du Password Hashing Competition 2015 et normalisee par la RFC 9106. Elle existe en trois variantes : Argon2d (indexation dependante des donnees, la plus rapide, mais dont les schemas d'acces memoire dependent du secret et fuient donc par canaux auxiliaires), Argon2i (independante des donnees, resistante aux canaux auxiliaires mais plus faible face aux attaques par compromis temps-memoire) et la variante recommandee Argon2id (un hybride qui utilise l'indexation Argon2i pour la premiere moitie de la premiere passe et Argon2d ensuite).

Sa securite vient du remplissage d'un grand bloc de memoire qui doit etre conserve tout au long du calcul. Cette durete memoire est l'avantage cle face aux schemas plus anciens : un cracker GPU ou ASIC peut faire tourner des milliers de coeurs de hachage paralleles et bon marche, mais il ne peut pas donner a moindre cout a chaque coeur des centaines de mebioctets de RAM rapide ; Argon2 augmente donc le cout par tentative bien plus que PBKDF2 ou meme bcrypt (qui n'utilise qu'environ 4 KiB). Les parametres reglables sont le cout memoire (m), le temps/iterations (t), le parallelisme (p) et la longueur de sortie.

La RFC 9106 recommande deux profils : une option a forte memoire de m=2 GiB, t=1, p=4, et une option a memoire contrainte de m=64 MiB, t=3, p=4. L'OWASP Password Storage Cheat Sheet donne une base conservatrice pour serveur web de Argon2id, m=19456 (19 MiB), t=2, p=1. Toujours associer Argon2 a un sel aleatoire unique par mot de passe, et ajuster les parametres a votre budget de latence.

flowchart LR
  P[Mot de passe] --> H[Argon2id]
  S[Sel aleatoire unique] --> H
  PARAMS[m cout memoire<br/>t iterations<br/>p parallelisme] --> H
  H --> MEM[Remplit un grand bloc memoire<br/>cout memoire eleve]
  MEM --> O[Hash / cle derive]
  MEM -. augmente le cout .-> GPU[Le cassage GPU/ASIC<br/>devient couteux]