[解決済み] パスワードの暗号化:ベストプラクティス?[クローズド]。
質問
この質問を改善したいですか? 事実と引用で答えられるように、質問を更新する。 本論文の編集 .
クローズド 1年前 .
ずっと気になっていたのですが... ハッシュ化するためにパスワードを塩漬けにする場合、prefixとpostfixのどちらが良いのでしょうか?なぜですか?それとも、ソルティングさえすれば問題ないのでしょうか?
説明します。私たちは皆、(願わくば)もう知っていることですが 塩 は、パスワードをハッシュ化してデータベースに保存する前に [ 編集する そのため、以下のようなことは避けることができます。 ジェフ・アトウッドに最近起こったこと ]. 一般的には、ハッシュアルゴリズムに通す前に、ソルトをパスワードに連結することで行われます。しかし、その例は様々である... ある例では、パスワードの前にソルトを付加しています。ある例では、ソルトをパスワードの前に追加します。 後 パスワード 塩を真ん中に置こうとするものも見たことがあります。
では、どの方法が良いのでしょうか、またその理由は?ハッシュの衝突の可能性を減らす方法はあるのでしょうか?ググってみても、このテーマに関するまともな分析結果は出てきません。
編集する 素晴らしい回答です。1つしか選べないのが残念です :)
解決方法は?
接頭辞や接尾辞は関係ありません。パスワードにエントロピーと長さを加えるだけです。
この3つを考慮する必要があります。
- ソルトは、保存するパスワードごとに異なる必要があります。(これはかなりよくある誤解です)。
- 暗号化された安全な乱数発生器を使用する。
- 十分な長さのソルトを選択する。誕生日問題について考える。
優れた Dave Sherohmanによる回答 なぜ、ユーザー名(あるいはその他の個人情報)ではなく、ランダムに生成される塩を使うべきなのか、という別の質問に対する回答です。これらの提案に従うなら、ソルトをどこに入れるかは本当に問題ではありません。
関連
-
[解決済み] MurmurHash - それは何ですか?
-
[解決済み] node.jsのハッシュ文字列?
-
[解決済み】MD5ハッシュを復号化することは可能ですか?
-
[解決済み】ハッシュとレンジの主キーとは?
-
[解決済み】SHAが衝突する可能性は、実際には無視しても大丈夫なのでしょうか?
-
[解決済み】レインボーテーブル攻撃に対してパスワードソルトはどのように役立つのでしょうか?
-
[解決済み] ベストプラクティス。パスワードのソルティングとペパリング?
-
[解決済み] パスワードの暗号化:ベストプラクティス?[クローズド]。
-
[解決済み] ReSharperのGetHashCodeのオーバーライドに'397'が使用されているのはなぜですか?
-
[解決済み] SHA-1はパスワードの保存に安全か?
最新
-
nginxです。[emerg] 0.0.0.0:80 への bind() に失敗しました (98: アドレスは既に使用中です)
-
htmlページでギリシャ文字を使うには
-
ピュアhtml+cssでの要素読み込み効果
-
純粋なhtml + cssで五輪を実現するサンプルコード
-
ナビゲーションバー・ドロップダウンメニューのHTML+CSSサンプルコード
-
タイピング効果を実現するピュアhtml+css
-
htmlの選択ボックスのプレースホルダー作成に関する質問
-
html css3 伸縮しない 画像表示効果
-
トップナビゲーションバーメニュー作成用HTML+CSS
-
html+css 実装 サイバーパンク風ボタン
おすすめ
-
[解決済み] MurmurHash - それは何ですか?
-
[解決済み] SHA-256 javascriptの実装で、一般に信頼できるとされるものはありますか?
-
[解決済み] トレントファイルの info_Hash とは一体何でしょうか?
-
[解決済み] パスワードをデータベースに保存する最適な方法【終了しました
-
[解決済み] node.jsのハッシュ文字列?
-
[解決済み】SHAが衝突する可能性は、実際には無視しても大丈夫なのでしょうか?
-
[解決済み] パスワードの暗号化:ベストプラクティス?[クローズド]。
-
[解決済み] MD5はファイルを一意に識別するのに十分な性能を持っていますか?
-
[解決済み] MD5/SHA1よりもCRCの方が適切な場合とは?
-
[解決済み] MD5ハッシュの計算は、SHAファミリー関数よりもCPU負荷が低いですか?