パスワードハッシュはsaltと一緒にハッシュ化する

(Last Updated On: 2013年11月6日)このタイトルにするとsaltとは、という議論をもう一回する事になるのかもしれませんが、最も近い用語はsaltだと思うので、saltを用語として使います。 随分前からパスワードハッシュはユーザが提供したパスワードと、システムが保持している秘密のランダム文字列と一緒にハッシュ化する方がより安全である、と言っていました。異論がある方もいらしたのですが、どうしてより安全となるのか、場合によっては比べ物にならないくらい安全になるのか、良く分かるビデオを見つけたので紹介します。 （音が大きいので注意！） このビデオを見ると、SQLインジェクションでWebフォーラムのハッシュ化ユーザパスワードを盗み取り、レインボーテーブルを提供しているサイトを利用して「ランダム文字列のパスワード」を解析し、SQLインジェクション情報を提供していたセキュリティ関連

[kmachu]

SSHA1を推奨ということかな？でも、「秘密の」ランダム文字列だからちょっと違うか。 http://www.machu.jp/diary/20071023.html#p01 / 具体例としてはRailsのrestful_authenticationプラグインの設計が参考になると思う。

[Ashizawa]

ランダム文字列でも6文字程度では平文と変らない　>僕はもう少し長い文字列使ってるなぁ

[msakamoto-sf]

YouTube動画での実演も紹介されてる。

[atsushifx]

パスワードをクラックされないためのハッシュ方式。具体的な例を希望