2018年のパスワードハッシュ - Qiita

数年前であれば仕方なかったところですが、2018年の今となっては、パスワードハッシュの手動計算はもはや"悪"です。 まずログイン認証と称してmd5とかsha1とか書いてあるソースはゴミなので投げ捨てましょう。 hashやcryptは上記に比べればずっとマシですが、使い方によっては簡単に脆弱になりえます。 あと『パスワードを暗号化する』って表現してるところも見なくていいです。 PHPには、ハッシュに関わる諸々の落とし穴を一発で解消してくれるpassword_hashという超絶便利関数があるので、これを使います。 というか、これ以外を使ってはいけません。 以下はフレームワークを使わずに実装する際の例示です。 フレームワークを使っている場合は当然その流儀に従っておきましょう。 ハッシュの実装 データベース ユーザ情報を保存するテーブルを作成します。 パスワードカラムの文字数は、システム上のパスワ

[rryu]

2018年のと言いつつPHPのpassword_hash()関数の話。

[deep_one]

いや、ハッシュ化の方式は自分で決定しろ。DBに記録するような奴ならあとで困るぞ。サーバーをうつした時とか。（といいつつ、自分も何が選択されてるか確認してない気がする。）

[itochan]

「パスワードの定期的変更」ならぬ「パスワードハッシュの定期的変更」は必要か？　＞古いユーザも新しいハッシュアルゴリズムに変更したいという場合、password_needs_rehashで比較的簡単に対応可能です。

[takaesu]

パスワードのハッシュ関連のいい内容

[ywv]

コメント欄もセットで読もう

[kibitaki]

ソーシャルログインも基本扱いたくない。あっちの都合でこっちが落ちたりする。

[iww]

php5.5以降ならとても安全に実装できる という話。 うらやましい

[wata88]

7.2 のやつ知らんかったので見とこうっと

[bufferings]

へー。便利なんだなー。

[kouhii]

利用する側としてはソーシャルログインってなんか気持ち悪いのでメアド渡してる。お手数かけます

[braitom]

“ソーシャルログインにしとけ。 どうしても必要ならフレームワーク使え。”

[Wacky]

“PHPには、ハッシュに関わる諸々の落とし穴を一発で解消してくれるpassword_hashという超絶便利関数があるので、これを使います。”

[lefb766]

ハッシュにメタデータとソルトがくっ付いて返ってくるの筋いいな。

[Wafer]

1986年のマリリン感

[kitaj]

「結論 ソーシャルログインにしとけ。」

[Palantir]

ここ場合Saltは何を元に生成してるんだろ

[HHR]

password_hash()

[JULY]

そもそも、ユーザの認証情報を LDAP や Kerberos に持たせた方が...

[fashi]

「SELECT * FROM users WHERE name = :name AND hash = :hashなどと書くことはできません」この実装になってるフレームワークをまずなんとかしないとな… / 「パスワード欄に"5f4dc..."と入っていれば」これは何の欄なんだろ…漏れた場合？

[itouhiro]

「結論：ソーシャルログインにしとけ（Qiitaのアカウントは作らずTwitterログインだけで利用）。どうしても必要ならフレームワーク使え。生PHPならpassword_hash()一択。暗号化は複合可能⇔ハッシュ化は一方通行の不可逆変換」

[love0hate]

password_hashはホンマに便利

[UhoNiceGuy]

ソーシャルログインって紐つけられないの？このクソ垢が善人気取ってる他のサービスと結び付けられたらと思うと…

[yuzumikan15]

ソーシャルログインでよくね？分かりすぎる

[kabochatori]

グローバルな仕様として他の言語でも実装して欲しい

[eerga]

導入部分でクソ記事と思ったけど、内容はそれなりにまともそう。

[kojikoji75]

password_hash関数等の便利さ

[n314]

password_needs_rehash いいね。でもmd5とかの古い実装にこそ使いたいけど…。

[anoncom]

PHPにはPASSWORD用に利用推奨する関数が、使いやすい形で用意されていたのは知らなかった（自前で実装するかフレームワーク使ってた）

[tmatsuu]

PHPさん優しい