• Twitterでシェア
  • Facebookでシェア

SHA1でハッシュ化したパスワードは危険になった

テクノロジー カテゴリーの変更を依頼 記事元:blog.ohgaki.net
適切な情報に変更
193users がブックマーク コメント 29

    記事へのコメント29

    • 注目コメント
    • 新着コメント
    JULY
    ソルトは見かけのパスワード長を長くすることで、rainbow テーブルを事実上、使えなくするするのが目的であり、必ずしも絶対に秘匿するべきものではない(秘匿できる事にこした事はないけど)。

    その他
    fhvbwx
    ハッシュ何回もかける意味がハッシュ計算コストなら原理的に計算コストがかかるハッシュアルゴリズムがあればいいのに

    その他
    ghostbass
    結局 password_hashを使えって話なのか使うなって話なのか

    その他
    pcnikki
    SHA1がオワコンなのは暗号関連に詳しい人なら今更だけど、パスワードハッシュアルゴリズムの選定に迷ってしまうようならエンジニアとしてヤバいです。そして、お塩加えるのお忘れなく!

    その他
    jksy
    salt+ユーザーの登録日時+パスワードとかでハッシュ化するといいよ。

    その他
    shodai
    Pa$$w0rdが解析できるのはソルトが、ないから?

    その他
    fhvbwx
    fhvbwx ハッシュ何回もかける意味がハッシュ計算コストなら原理的に計算コストがかかるハッシュアルゴリズムがあればいいのに

    2015/04/21 リンク

    その他
    kirte
    ↓ハッシュを何回もかける(ストレッチング)のはハッシュ計算の時間を増やすことが目的のはず ソルトがレインボーテーブル対策で、ストレッチングは総当り対策 / 低速のハッシュ計算は用途が限定されすぎてるからかな

    その他
    rna
    ハッシュ何回もかける意味ってあるんかな。回数わかってたらレインボーテーブル作成コストはたいして変わらんし。長いソルト付けた方が効果的なような。/何万回も繰り返すのか。線形でしか増えなくても意味あると…

    その他
    ghostbass
    ghostbass 結局 password_hashを使えって話なのか使うなって話なのか

    2015/04/21 リンク

    その他
    k-holy
    “DEFAULTのハッシュ関数が更新された場合、後方互換性を維持しつつ新しいハッシュ関数とハッシュ回数が利用されます。古いパスワードはパスワードが再設定された場合に自動的に更新されます。”まじか

    その他
    Nobeee
    パスワード

    その他
    tripleshot
    hash の salt は hush-hush だぜ

    その他
    ouest
    Hashed Password

    その他
    Sampo
    パスワード管理アプリが不可逆なハッシュ化かけちゃダメでは

    その他
    y-kawaz
    そもそもどのハッシュ関数使ったとしてもシード付きにしとけという話よな。

    その他
    deep_one
    何を選ばれるのか分からない関数…は問題解決の時につまるので長期に使う物では絶対使わないなぁ。実際に使われたアルゴリズムをセットで記録する、とかならありか。

    その他
    m_shige1979
    そのうちsha512でも時代遅れになりそうな予感

    その他
    pcnikki
    pcnikki SHA1がオワコンなのは暗号関連に詳しい人なら今更だけど、パスワードハッシュアルゴリズムの選定に迷ってしまうようならエンジニアとしてヤバいです。そして、お塩加えるのお忘れなく!

    2015/04/21 リンク

    その他
    JULY
    JULY ソルトは見かけのパスワード長を長くすることで、rainbow テーブルを事実上、使えなくするするのが目的であり、必ずしも絶対に秘匿するべきものではない(秘匿できる事にこした事はないけど)。

    2015/04/21 リンク

    その他
    indication
    バックエンド…やばい

    その他
    taityou3
    ハッシュ

    その他
    setamise
    誤った記事。SHA-1の脆弱性についての誤解。Saltについての一般的な認識との乖離。

    その他
    jar2
    暗号化

    その他
    kootaro
    memo

    その他
    takanori_is
    コメント欄でのやりとりも含めて参考になった

    その他
    kmachu

    その他
    taoyag
    []

    その他
    poolmmjp
    saltって固定文字列で良いの?毎回違う文字列でしょ。別人が偶然同じパスワードにしててもハッシュ値が同じにならないようにするために。秘密である必要もないと思う。例えばユーザIDをsaltにしたりする。

    その他
    PoohKid
    SHA1は危険なので「SHA512+Salt」にする/$hashed_password = sha512($_POST['password'].'固定の秘密文字列');

    その他
    mitsuki_engawa
    「ないよりまし」をどの程度評価するか、で見方が変わる気がする。perlとかなら、saltや認証系のコードごとconfigファイルに分離してevalすれば、コード本体は公開できるのでは。

    その他
    f99aq
    うーん。なんで"危険になった"のか理解して無いんじゃ?

    その他
    yupo5656
    あとで

    その他
    hilde
    個人的なコードでsaltつけるの習慣にしてないのでこれからします。

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    SHA1でハッシュ化したパスワードは危険になった

    Last Updated on: 2018年4月3日パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは...

    ブックマークしたユーザー

    • soratomo2018/02/11 soratomo
    • fuyu772017/01/16 fuyu77
    • monnalisasmile2016/03/23 monnalisasmile
    • syonx2015/05/01 syonx
    • lEDfm4UE2015/04/29 lEDfm4UE
    • popoon2015/04/25 popoon
    • fijixfiji2015/04/24 fijixfiji
    • uscoder2015/04/24 uscoder
    • ajinorichan2015/04/23 ajinorichan
    • jksy2015/04/22 jksy
    • kou10mo2015/04/22 kou10mo
    • shodai2015/04/22 shodai
    • yuusuke01072015/04/22 yuusuke0107
    • sawarabi01302015/04/21 sawarabi0130
    • fhvbwx2015/04/21 fhvbwx
    • kazuyadesse2015/04/21 kazuyadesse
    • moritata2015/04/21 moritata
    • Kenji_s2015/04/21 Kenji_s
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.