[PHP]パスワードのハッシュ化にはcrypt が便利 | ブログが続かないわけ
【2009/01/27 追記】 このエントリは間違っているので、次のエントリも併せてご覧ください。 [PHP]パスワードのハッシュ化にはcrypt を使ってはいけない パスワードをDBに保管するとき、プレーンテキストのままじゃダメってのはもういいよね。 (参考)ブログが続かないわけ | パスワードを平文で管理するのはダメだ で、そのときどうやってハッシュ化するかというお話。 まず、大前提として復号可能な暗号は避けた方がいい。パスワードを復号しなければならないというシーンはほとんどないので、それであれば復号できない方がセキュリティ上安全だからだ。復号できない方式でハッシュ化すれば、もう、誰にもパスワードはわからない状態になるからね。 やり方としてありがちなのはMD5 によるハッシュ化 $pass = 'my password'; $pass_hash = md5($password); //
![[PHP]パスワードのハッシュ化にはcrypt が便利 | ブログが続かないわけ](https://cdn-ak-scissors.b.st-hatena.com/image/square/2302e44c95c7e474fefb218540004f95dc47a4bb/height=288;version=1;width=512/https%3A%2F%2Fimaging.jugem.jp%2Ftemplate%2Fimg%2Fjugem_og-image.png)
パスワードハッシュはsaltと一緒にハッシュ化する
(Last Updated On: )このタイトルにするとsaltとは、という議論をもう一回する事になるのかもしれませんが、最も近い用語はsaltだと思うので、saltを用語として使います。 随分前からパスワードハッシュはユーザが提供したパスワードと、システムが保持している秘密のランダム文字列と一緒にハッシュ化する方がより安全である、と言っていました。異論がある方もいらしたのですが、どうしてより安全となるのか、場合によっては比べ物にならないくらい安全になるのか、良く分かるビデオを見つけたので紹介します。 (音が大きいので注意!) このビデオを見ると、SQLインジェクションでWebフォーラムのハッシュ化ユーザパスワードを盗み取り、レインボーテーブルを提供しているサイトを利用して「ランダム文字列のパスワード」を解析し、SQLインジェクション情報を提供していたセキュリティ関連フォーラムへの侵入も
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
