Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
[B! セキュリティ] ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
[go: Go Back, main page]

記事へのコメント123

  • 注目コメント
  • 新着コメント
オーナーコメントを固定しています
ockeghem
オーナー Twitterにて出題した試験(クイズ)の想定正解と解説を書きました

その他
Falky
絶対にありえない「ソルトは保存せず毎回ランダムに生成する」が23.3%もいるの笑ってしまった。どうやって照合すんねんw

その他
joker1007
ここまでを知識として知っていることと、職場のシステムがそうなっているかどうかはまた別という問題がある。

その他
kazuhooku
バランスのとれた良い記事。個人的にはpepperの前に、DBのパスワードカラムを読み込み禁止にすべきだと思う(SQLインジェクション耐性できるしストアドで認証出来る)

その他
mak_in
ソルトの値が「ユーザ毎」に異なる、ってのがポイントなのか。ソルトはシステム全体で共通だと勘違いしてた。だから同じDBにいれるな、かと。最近だとライブラリや認証サービスに任せてて、あまり意識してなかったな

その他
sirobu
saltという名のpepperになってる気がする過去の担当システムに心当たりが……

その他
miyakawa_taku
bcrypt使えばソルトも一緒に出力されるから、bcrypt(2b)を正しく使ってその結果を保存しよう、がほぼ正解だと思う。ペッパーは知らなかった。

その他
new3
pepperは俗語でNISTとかではsecret saltとかだった気がするが、用語が普及してきたんですかね。となるとsugarの登場が待ち遠しいな。

その他
haatenax
Twitterのアンケートは回答だけ見るために適当に押してる層多い。「回答だけ見る」みたいな選択肢増やすのが無難な回避策。

その他
zxcvdayo
bcryptのsaltって $2y$10(コスト)$ の後の22文字固定でそのあとのハッシュ値と区切り文字ないからわかりづらいのはありそう。中途半端に自前で実装するより仕組み知らんでも出来合いの使ってた方がはるかに正しいので……

その他
オーナーコメントを固定しています
ockeghem
オーナー ockeghem Twitterにて出題した試験(クイズ)の想定正解と解説を書きました

2023/08/17 リンク

その他
lycolia
パスワードとかで使うハッシュのソルトの保存場所。基本は区切り付き文字列にして一か所に収めることが多い

その他
secseek
自前で実装するなってのがそろそろ普遍的な正解になりつつあるので、このシステムはbcrypt使っています、くらいのことは公開しちゃってもいいんじゃないかって思えてきました

その他
kiririmode
saltの保存

その他
kanehama
ソルト8文字とかで作って処理としては「前4文字」「パスワード」「後4文字」とか変な実装することによりもっと調べる遅くすることも可能かー。

その他
a-kuma3
salt が唯一の値という間違った認識はどこが起源なのだろう。/etc/passwd の古から2桁の salt がついてたのだから時代や世代ではないはず

その他
raitu
“ハッシュ関数は一方向なので、ハッシュ値とソルトから、数式などで平文パスワードが算出できるわけではなく、辞書攻撃や総当たり攻撃が必要となります”

その他
kuracom
ソルトのことすっかり勘違いしてた…フレームワークに任せきりにしてた

その他
ysync
bcryptに任せればハッシュと一緒にソルトも保存してくれて、レインボーテーブルの利用は防げるのでそれだけでいいのでは?

その他
diet55
高木浩光「これでもいろいろおかしい。」 https://twitter.com/HiromitsuTakagi/status/1692132317203186117

その他
nicht-sein
DBマスタ抜かれている時点で大体コードや環境一式も抜かれてるので、環境変数とかに逃がしても無駄じゃね?派。分からないならOAuthとか使った方が良いというのも分かるんだけど、OAuth自体が難しい罠

その他
itochan
ペッパー pepper 、知らなかった

その他
cielonlon
恥ずかしながら、勘違いしていた部分あり。。。勉強になりましたっ!!

その他
kazkun
ペッパー、知らんかった。

その他
fukumimi777
少なくとも、オレオレ実装だけは止めようね

その他
umakoya
saltってパスワード漏洩が致命傷にならないためだけのもので、同一パスワードが同一ハッシュ値になるのは仕方ないと思ってた。ユーザーごとにランダムに変えるものなのか。

その他
pmint
保存場所はあってるけど、ソルトをハッシュ化したら使えないだろ。ハッシュとは別にソルトがあるのに、どちらにも同じ処理をしてどうするの。「パスワードだけでなくIDもハッシュ化したほうが良い」みたいな話。

その他
Kazumi007
ソルト付きハッシュのソルトは、パスワードと同じDBに格納する

その他
Helfard
ソルト・ペッパーと来れば次は味の素だろうか?

その他
jama_ican
“パスワードの保存には、MD5やSHA-2のような一般的で高速なハッシュ関数ではなく、bcrypt、scrypt、Argon2などパスワード保護用に開発された「低速の」アルゴリズムが望ましいとされます”

その他
gologius
言い方はともかくこのコメントは確かになぁって思った。(どうでもいいけど初対面?の人にネット上とはいえ実名でため口ってどうなんだ・・・) https://qiita.com/ockeghem/items/d7324d383fb7c104af58#comment-0953379919fde5779fe0

その他
mockmock9876
ひろみちゅ先生がまた物申してたけど、何が違ったんだろ?

その他
dekasasaki
さすがのクオリティ

その他
kaiton
ソルトは個人ごとに異なる、これを理解していない人は多そう。個人IDからと実装をしているのが多そう https://x.com/hiromitsutakagi/status/1692132317203186117 「これでもいろいろおかしい」がどこなのか気になる

その他
arakash
ソルトの目的と保存方法がよく整理されている

その他
knjname
ブコメ見てても頭痛いコメントがある こんなもんbcryptを思考停止で使えばいいだけ 素人が工夫しないでくれ DBに生パスワードを伝送しないでくれ

その他
mabushii_sign
ちゃんと理解出来てなかったなぁ

その他
tpircs
ソルトを誤解してたことを告白しておきます。ペッパーと説明されてるものをソルトだと思ってた。まぁ適切に扱えていればセキュリティ強度としては問題ないのかもしれないけれども。

その他
soratomo
もうパスワードは漢字や絵文字や象形文字とかも必須にして、人々はそれを石版に描いて重みを感じながら大切に保管しよう。湿気対策や厄払いに塩(salt)とコショウ(pepper)まいておけば万全とか。

その他
dorje2009
半分近くはよわよわパスワードじゃなかったのね。意外とやるじゃない

その他
t-murachi
基礎知識やね(´・ω・`)

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure y...

ブックマークしたユーザー

すべてのユーザーの
詳細を表示します

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2026 Hatena. All Rights Reserved.