Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
[B! セキュリティ] 何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
[go: Go Back, main page]

記事へのコメント38

  • 注目コメント
  • 新着コメント
dkfj
2023/08/21に記事を追記・一部修正しました

その他
mr_mayama
シュガーやソイソースといった手法も注目されている(いない

その他
knjname
重箱の隅をつつくようだが、通常はパスワードハッシュ発行ごとにソルトを作るのであって、ユーザーごとではないと思っている

その他
deep_one
レインボーテーブルの説明が適切ではない。あれは「計算済みのハッシュ値」からの逆引きなので「テーブル」って言うんだろ。/還元関数なんて存在していいの?(調べた)還元関数が還元できてない謎のものだった。

その他
taguch1
パスワードの保存をやめてワンタイムパスワードだけで実装してメールシステムや通信経路のセキュリティにリスクを丸投げってのでいい気がするけどな。

その他
JULY
計算済みのハッシュ値からパスワードを得る手法をレインボーテーブルという、と読めるけど、厳密には「手法の一つ」。愚直にハッシュ値をキーとしたDBだと量的に破綻するところを工夫したのがレインボーテーブル。

その他
Kmusiclife
あなたのパスワードは◯◯◯◯◯ですと教えてくれる便利サービス未だにある。法律でそろそろ定めてほしい。

その他
abstruct3431
「 レインボーテーブルの説明が適切ではない。」って言ってる奴は、どこからがブルートフォースの説明か明確にわかった上で言ってんだろうか?

その他
damehobbyanimelike-913
発想としては空き巣対策と同じ。鍵を二重にする。割れにくい窓ガラスにする。

その他
remonoil
パスワードがどんどん美味しくなっていく

その他
akatakun
MD5やSHA-1は、既に非推奨となっています, パスワード毎にソルトを用意する, ペッパー(シークレットソルト), ストレッチング

その他
zakusun
二段階認証すればいいじゃん。パスワードがバレてもログイン出来ないでしょ。簡単には。simを乗っ取られたらって言うけど、そしたら後は生体認証くらいでは?

その他
enemyoffreedom
FW組み込みの認証認可機能を使うか、自前で書くとしてもbcryptがライブラリなり標準関数で使えるはずだからそれを使えよと

その他
YassLab
"ソルトの目的は究極的には元のパスワードを割り出し難くすることです。その目的から照らし合わせると、ユーザー毎のソルトを利用することによりユーザー毎に計算する必要が出てきます。つまり計算量が物凄く増える"

その他
KoshianX
ストレッチングまで考えるとめんどうなのでこういうの自分でやらないといけないときはPBKDF2使ってるな。だいたいライブラリあるし。

その他
ShionAmasato
バッサリ省略しすぎた部分があるので直すと表明してるの、地味に好感ある

その他
tick2tack
ペッパー: ソルトよりも管理を厳重にした共通ソルトみたいなもの ストレッチング: ハッシュ化を何度も繰り返す。何千、何万回もやることも!?

その他
kurotsuraherasagi
わかりやすい。教材で引用できそう

その他
kusigahama
これ頑張ってもパスワードを使い回すユーザに対する軽減策でしかないんだよな。かつてのCookieのようにブラウザとサイトがやりとりする方が良さそう。通常フローでパスワードをユーザに見せる必要ないよなぁ。

その他
shoh8
ビネガーで全ての味を均一化して、同じパスワードで入れるようにしよう

その他
Magicant
ソルトだけでなくペッパーも加へた方がいい理由の説明が曖昧なやうな

その他
remonoil
remonoil パスワードがどんどん美味しくなっていく

2023/08/19 リンク

その他
djkaz
「対象の文字列が8桁英数字だったとしたら、その組み合わせは約220兆パターンです。今のGPUであれば数十分程度で全ての組み合わせを計算できます」

その他
webnoshiori
わかりやすー!

その他
raitu
レインポーテーブル攻撃と、その対策であるソルトやペッパーの解説

その他
chintaro3
塩と胡椒が味噌ってか。

その他
Silfith
初学者がこんなの読むと最後のbioに並ぶ著書で権威付けしそうで困る。 中身はおかしいのでこんなものを鵜呑みにしないこと。

その他
softstone
レインボーテーブルの説明が不適切というかズッポリ抜けてるので話がぜんぜん繋がってないね。この理解でこの著書一覧なら日本のセキュリティ完全終了なのでケアレスミスで説明消しちゃったとか校正抜けだと思いたい

その他
TakamoriTarou
そのうちだんだんと増えて、クレイジーソルトとか、七味唐辛子みたいになるんかな(なりません

その他
tyosaka
良い記事。ありがとうございます。

その他
circled
Appleがパスワード辞めてパスキーにしようとしてる辺りが正解

その他
efcl
salt、ストレッチングについて

その他
IGA-OS
システム設計時に考えなければならぬもの

その他
Kmusiclife
Kmusiclife あなたのパスワードは◯◯◯◯◯ですと教えてくれる便利サービス未だにある。法律でそろそろ定めてほしい。

2023/08/18 リンク

その他
tmurakam
ソルトの説明が変。ユーザごとではなくパスワードをハッシュ化して保存するときに毎回ランダムで作るのが正しい。

その他
napsucks
ストレッチングは何回ストレッチしたかさえ漏れなければかなり強力。まあ侵入された時点でお察しではあるが・・・。

その他
abstruct3431
abstruct3431 「 レインボーテーブルの説明が適切ではない。」って言ってる奴は、どこからがブルートフォースの説明か明確にわかった上で言ってんだろうか?

2023/08/18 リンク

その他
taguch1
taguch1 パスワードの保存をやめてワンタイムパスワードだけで実装してメールシステムや通信経路のセキュリティにリスクを丸投げってのでいい気がするけどな。

2023/08/18 リンク

その他
damehobbyanimelike-913
damehobbyanimelike-913 発想としては空き巣対策と同じ。鍵を二重にする。割れにくい窓ガラスにする。

2023/08/18 リンク

その他
ya--mada
大きくもないウェーブに乗ってるの

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog

不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。...

ブックマークしたユーザー

すべてのユーザーの
詳細を表示します

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.