1. ホーム
  2. hash

[解決済み] パスワードの暗号化:ベストプラクティス?[クローズド]。

2022-04-25 21:09:31

質問

<余談
クローズド . この質問は 意見型 . 現在、回答は受け付けておりません。

<パス

この質問を改善したいですか? 事実と引用で答えられるように、質問を更新する。 本論文の編集 .

クローズド 1年前 .

ずっと気になっていたのですが... ハッシュ化するためにパスワードを塩漬けにする場合、prefixとpostfixのどちらが良いのでしょうか?なぜですか?それとも、ソルティングさえすれば問題ないのでしょうか?

説明します。私たちは皆、(願わくば)もう知っていることですが は、パスワードをハッシュ化してデータベースに保存する前に [ 編集する そのため、以下のようなことは避けることができます。 ジェフ・アトウッドに最近起こったこと ]. 一般的には、ハッシュアルゴリズムに通す前に、ソルトをパスワードに連結することで行われます。しかし、その例は様々である... ある例では、パスワードの前にソルトを付加しています。ある例では、ソルトをパスワードの前に追加します。 パスワード 塩を真ん中に置こうとするものも見たことがあります。

では、どの方法が良いのでしょうか、またその理由は?ハッシュの衝突の可能性を減らす方法はあるのでしょうか?ググってみても、このテーマに関するまともな分析結果は出てきません。

編集する 素晴らしい回答です。1つしか選べないのが残念です :)

解決方法は?

接頭辞や接尾辞は関係ありません。パスワードにエントロピーと長さを加えるだけです。

この3つを考慮する必要があります。

  1. ソルトは、保存するパスワードごとに異なる必要があります。(これはかなりよくある誤解です)。
  2. 暗号化された安全な乱数発生器を使用する。
  3. 十分な長さのソルトを選択する。誕生日問題について考える。

優れた Dave Sherohmanによる回答 なぜ、ユーザー名(あるいはその他の個人情報)ではなく、ランダムに生成される塩を使うべきなのか、という別の質問に対する回答です。これらの提案に従うなら、ソルトをどこに入れるかは本当に問題ではありません。