エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
パスワードのハッシュ管理で、ソルトは秘密情報ではない(バレてもいい)のはどうしてでしょうか?ハッシュがバレた場合に元パスワードが探索されてしまいませんか? | ask.fmhttps://ask.fm/tokumaru
記事へのコメント4件
- 注目コメント
- 新着コメント
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
パスワードのハッシュ管理で、ソルトは秘密情報ではない(バレてもいい)のはどうしてでしょうか?ハッシュがバレた場合に元パスワードが探索されてしまいませんか? | ask.fmhttps://ask.fm/tokumaru
積極的にバレてもいいと言うことではないのですが、ハッシュ値が漏洩するような状況ではソルトだけ秘密... 積極的にバレてもいいと言うことではないのですが、ハッシュ値が漏洩するような状況ではソルトだけ秘密にしておくことは難しいという判断によるものです。 仮に「絶対に漏洩しない保存手段」があるのであれば、(1)パスワードをその方法で保存する または (2)暗号鍵をその方法で保存してパスワードの暗号化する方が安全です。とくに(2)は、ハードウェア セキュリティ モジュール (HSM)という形で実現しています。しかし、HSMは高価なことから、廉価で安全性も高い方法として、(最悪バレるかもしれない)ハッシュ値とソルト、加えてストレッチングという方法がよく使われます。 例えばソルトをDBとプログラムハードコーディングに分けて保存すると、片方だけバレても平文パスワードの復元は難しいという状況は作れます。拙著で紹介している方法です。
2015/04/17 リンク