パスワード認証
基本 最近の Linux などのユーザ認証は /etc/passwd,/etc/shadow ファイルで行われる。 たとえば useradd hoge と打ち込むと,/etc/passwd には hoge:x:501:501::/home/hoge:/bin/bash /etc/shadow には hoge:!!:11940:0:99999:7::: のように入る。 この段階ではまだログインできない。 次に,パスワードを設定する。 # passwd hoge Changing password for user hoge New UNIX password: hogehoge BAD PASSWORD: it does not contain enough DIFFERENT characters Retype new UNIX password: hogehoge passwd: all
パスワードハッシュはsaltと一緒にハッシュ化する
(Last Updated On: 2013年11月6日)このタイトルにするとsaltとは、という議論をもう一回する事になるのかもしれませんが、最も近い用語はsaltだと思うので、saltを用語として使います。 随分前からパスワードハッシュはユーザが提供したパスワードと、システムが保持している秘密のランダム文字列と一緒にハッシュ化する方がより安全である、と言っていました。異論がある方もいらしたのですが、どうしてより安全となるのか、場合によっては比べ物にならないくらい安全になるのか、良く分かるビデオを見つけたので紹介します。 (音が大きいので注意!) このビデオを見ると、SQLインジェクションでWebフォーラムのハッシュ化ユーザパスワードを盗み取り、レインボーテーブルを提供しているサイトを利用して「ランダム文字列のパスワード」を解析し、SQLインジェクション情報を提供していたセキュリティ関連
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
