tokumaru

テクノロジーカテゴリーの変更を依頼記事元:

ask.fm

32 usersがブックマークコメント

記事へのコメント4件

注目コメント
新着コメント

izumin5210 “ソルトをDBとプログラムハードコーディングに分けて保存すると、片方だけバレても平文パスワードの復元は難しい”

2015/04/17 リンク

ir_takt "HSMは高価なことから、廉価で安全性も高い方法として、（最悪バレるかもしれない）ハッシュ値とソルト、加えてストレッチングという方法がよく使われます"

2015/04/15 リンク

noonworks この質問をした人は「ハッシュもソルトもばれたらすぐ解読されてしまうのではないか」という心配をしているんじゃないかな？

セキュリティ

2015/04/14 リンク

wbfcg593 IT セキュリティ

2015/04/14 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

<iframe marginwidth="0" marginheight="0" src="https://b.hatena.ne.jp/entry.parts?url=https%3A%2F%2Fask.fm%2Ftokumaru%2Fanswers%2F125698957117" scrolling="no" frameborder="0" height="230" width="500"><div class="hatena-bookmark-detail-info"><a href="https://ask.fm/tokumaru/answers/125698957117">パスワードのハッシュ管理で、ソルトは秘密情報ではない（バレてもいい）のはどうしてでしょうか？ハッシュがバレた場合に元パスワードが探索されてしまいませんか？ | ask.fmhttps://ask.fm/tokumaru</a><a href="https://b.hatena.ne.jp/entry/s/ask.fm/tokumaru/answers/125698957117">はてなブックマーク - パスワードのハッシュ管理で、ソルトは秘密情報ではない（バレてもいい）のはどうしてでしょうか？ハッシュがバレた場合に元パスワードが探索されてしまいませんか？ | ask.fmhttps://ask.fm/tokumaru</a></div></iframe>

プレビュー

規約違反を報告

パスワードのハッシュ管理で、ソルトは秘密情報ではない（バレてもいい）のはどうしてでしょうか？ハッシュがバレた場合に元パスワードが探索されてしまいませんか？ | ask.fmhttps://ask.fm/tokumaru

積極的にバレてもいいと言うことではないのですが、ハッシュ値が漏洩するような状況ではソルトだけ秘密... 積極的にバレてもいいと言うことではないのですが、ハッシュ値が漏洩するような状況ではソルトだけ秘密にしておくことは難しいという判断によるものです。仮に「絶対に漏洩しない保存手段」があるのであれば、(1)パスワードをその方法で保存するまたは (2)暗号鍵をその方法で保存してパスワードの暗号化する方が安全です。とくに(2)は、ハードウェアセキュリティモジュール (HSM)という形で実現しています。しかし、HSMは高価なことから、廉価で安全性も高い方法として、（最悪バレるかもしれない）ハッシュ値とソルト、加えてストレッチングという方法がよく使われます。例えばソルトをDBとプログラムハードコーディングに分けて保存すると、片方だけバレても平文パスワードの復元は難しいという状況は作れます。拙著で紹介している方法です。