ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
注意 この記事は攻撃の実行を教唆する目的で書かれたものではなく、特定の状況におけるセキュリティ上の問題点を指摘するために公開しているものです。この記事に書かれた内容を実行して発生した結果について、筆者は一切の責任を負いません。 はじめに インターネット上で他人のメールアドレスをmd5で二重ハッシュしたものを公開されている方を見かけたため、解析する実験を行いました。 メールアドレスのユーザー名部分は多くの場合小文字のアルファベットと数字のみ(36文字)のそれほど長くない列で構成されており、ブルートフォース攻撃(総当り攻撃)によって簡単に特定できてしまうと考えられます。 またドメイン部分に関しても、一般の方が使うメールプロバイダが限られていることを考慮すると、サイズの小さい辞書でも十分な確率で当たるものと考えられます。 実験 今回はhashcatという、GPUでハッシュ値を解読するソフトウェア
Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す
「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化:ITお嬢様の今日も分かりませんわ~!(1/4 ページ)
ハッシュ化すれば安全か?
パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。 可逆暗号化では、暗号化の解読が可能だが、ハッシュ化ならば、暗号の解読はできないからだ、という理屈だ。 → https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html しかし、それは正しくない。たとえハッシュ化しても、ハッシュ化の解読は可能である。 それには、次の方法を取る。 「文字列の組み合わせ(総当たり)のハッシュ化をしたリストを得る」 たとえば、 8桁以下の英字(大小)の組み合わせのすべてに対して、そのハッシュ化をしたリストを得る。 こうした一覧リストを得れば、ハッシュ化されたデータファイルから、元のパスワードを復元することが可能である。 ※ 全員が復元できるわけで
『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント
<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4716770064637993794/comment/blueboy" data-user-id="blueboy" data-entry-url="https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html" data-original-href="https://www.itmedia.co.jp/news/articles/2203/15/news172.html" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.
本記事ではスコープ外なので解説しませんが、実用上はストレッチングも用いたほうが良いです。 ハッシュ化とは ハッシュ化とは、元データ(文字列)をハッシュ値(文字列)に不可逆変換することを指します。 ハッシュ化を実行する関数をハッシュ関数と呼びます。 ハッシュ関数は様々な種類があり、md5やsha-256,sha-512,bcryptなどが有名ですが、今回はmd5を使用します! md5関数を使用した例を下記に示します。 <?php print ('ガンダム: '.md5('ガンダム')."\n"); print ('ガンキャノン: '.md5('ガンキャノン')."\n"); print ('ガンタンク: '.md5('ガンタンク')."\n"); ?> //結果 ガンダム: e87f1086f7bf9f59f1ec0b2dd2f320a4 ガンキャノン: e44e4ca716d4df9d1d
森永製菓は6月18日、同社のサーバ機器が外部からの不正アクセスを受け、同社とグループ会社の役職員などの4882件の個人情報が外部へ流出したおそれがあると発表した。 氏名や社内システムのログインID、ハッシュ化したパスワードが含まれていたという。 侵入経路は特定・遮断しており、不正使用などの二次被害は確認していないとしている。 漏えいしたおそれがあるのは、同社とグループ会社の役職員、委託業務従事者の個人情報(退職者、元従業者の一部も含む)4882件。 氏名と会社名、部署名などの所属、社用メールアドレス(@morinaga.co.jp/@morinaga.com)、社内システムのログインID、ハッシュ化したパスワードが含まれていた。 4月9日にサーバーで不審な動作を認知して判明した。現在、外部の専門機関による調査を進めており、個人情報が流出した明確な証拠は見つかっていないが、「漏えいの可能性を
はじめに インターネット上から収集した画像をもとに機械学習のデータセットを作成するとき、重複した画像の削除が必要です。訓練データに重複した画像があるならまだ良いですが、訓練データ・テストデータの間で重複した画像があると、いわゆるleakageが起きてしまいます。 画像の重複を検出する方法として最も単純なものは、MD5などのファイルのハッシュ値を利用することです。しかしながら、ファイルのハッシュ値は、あくまでも画像ファイルのバイナリ列をハッシュ化したものであり、同じ画像でも保存形式や圧縮パラメータを変えただけでも変化してしまい、検出漏れにつながります。 そこで本記事では、画像の特徴そのものをハッシュ化するアルゴリズムを紹介するとともに、簡単な実験を通してそれらハッシュ化アルゴリズムの特性を見ていきます。 画像のハッシュ化アルゴリズム Average Hash (aHash) 画像の特徴(輝度
インターネット上で安全にデータを保管・通信するために開発された技術のひとつとして知られる、ハッシュ化と暗号化。しかし、その違いを正確に理解することに難しさを感じる人も少なくないのではないだろうか。この記事では、ハッシュ化と暗号化の違いを明らかにした上で、その安全性について解説する。 ハッシュ化と暗号化の違いは「不可逆性」 ハッシュ化とは特定の計算手法に基づいて、元のデータを不規則な文字列に置換する処理を指す。代表的な使用方法としては、パスワードをハッシュ化して保存・管理することが挙げられる。第三者が不正にパスワードへアクセスしたとしても、ランダムな文字列に変換されていることで、悪用されるのを防げるためだ。 ハッシュ化を施すアルゴリズムはハッシュ関数と呼ばれ、ハッシュ関数によって生成されるランダムな文字列はハッシュ値と呼ばれる。ハッシュ関数は入力する元データによって異なるハッシュ値を返す。同
bcryptをやめてshaでハッシュ化すべきですか?
OWASP セキュリティ要件定義書3.0 (https://github.com/ueno1000/secreq) によれば ハッシュ関数、暗号アルゴリズムは『電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載のものを使用すること 広く使われているハッシュ関数、疑似乱数生成系、暗号アルゴリズムの中には安全でないものもあります。安全なものを使用するためには、『電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』に記載されたものを使用する必要があります。 と、あります。 電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)※CRYPTRECホームページ https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r4.pdf リストでは、ハッシュ関数とし
認証の主な役割は、ユーザー名やパスワードなど一連の資格情報をユーザーに提供し、ユーザーがアプリケーションへのアクセスを希望するときに正しい資格情報を提供しているかどうかを検証することです。したがって、将来比較を行うときのために、データベースにこうした資格情報を格納する方法が必要となります。しかし、サーバー側に認証用のパスワードを格納するのは難しい課題です。ここではパスワードを安全かつ簡単に格納するメカニズムの1つであるハッシュ化について考えてみます。 パスワードの格納は複雑で危険であるパスワードを格納する簡単な方法は、データベースにユーザー名とパスワードをマップするテーブルを作ることです。ユーザーがログインすると、サーバーはユーザー名とパスワードを含んだペイロードで認証のリクエストを受け取ります。テーブルでユーザー名を探し、提供されたパスワードと保存されているパスワードを比較します。パスワ
概要 大量の画像の中から類似画像を検索するソリューションを開発するとします。 類似画像を検索したいが、その都度ファイルを読み出したり、メモリに乗せて処理するのは速度やHWコスト面で大変です。 検索を容易にするためにはRDBMSを活用するのが楽です。 そのため今回は画像の形状パターンをハッシュ化して予めDBに登録しておき、検索したい画像のハッシュ値とSQLだけで類似画像を検索できるようにします。 画像の形状パターンをハッシュ化するには Avarage Hash(aHash) や Perceptual Hash(pHash) などの手法があります。 Avarage Hash 画像を8x8に縮小してグレースケール化した各点の輝度値の平均値を取り、その平均値と比べ各点大きいか小さいかで2値化して一列にすることで64bit値を取得します。 Perceptual Hash 画像を8x8より大きい適当な
パスワードはハッシュ化する - 叡智の三猿
はじめて作った顧客管理システム わたしがはじめて、顧客管理のシステムを構築したのは1999年です。間近に迫るY2K問題(西暦2000年に世界中のシステムが障害を起こし、パニックになるかもしれない問題)を抱えた緊張のときでした。 きっかけは、当時、在籍していた会社が、ある香水会社の販売代理店の契約を締結したことです。わたしは、顧客からのネット注文に応えるため、簡単なWebサイトと、注文フォームを作りました。注文情報は、sendmailコマンドにより、受注担当者が電子メールとして受付します。担当者がメールで確認した注文内容をアクセスで作った受注画面に登録します。アクセスDBには、商品、顧客などのマスタテーブルと、受注、出荷のトランザクションテーブルを関連付け、出荷情報は経理がエクセルで確認できるよう、ODBC接続をしました。 これは、突貫工事で作った仕組みです。このとき、情報セキュリティを意識
大澤昇平🇺🇳 on Twitter: "アンチ氏が受講したと主張する私の公開講座ですが、本当に受講したのか怪しいので、受講生のメールアドレスを二重md5でハッシュ化したリストを公開します。 ここにマッチするメールアドレスを本人が提示できない限りは、すべて悪意あるニセモ… https://t.co/jJxrFudbAc"
アンチ氏が受講したと主張する私の公開講座ですが、本当に受講したのか怪しいので、受講生のメールアドレスを二重md5でハッシュ化したリストを公開します。 ここにマッチするメールアドレスを本人が提示できない限りは、すべて悪意あるニセモ… https://t.co/jJxrFudbAc
メアドはハッシュ化しても個人情報
メアドはハッシュ化しても個人情報 2022年2月15日 毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。 当記事で取り上げるのは以下の配信です。 配信日:2021年12月16日タイトル: メアドはハッシュ化しても個人情報発表者:データサイン ビジネスディベロッパー 宮崎洋史「メールアドレスをハッシュ化すれば大丈夫」という誤解ある企業A社がビジネスで取得した顧客のメールアドレス(xxx@datasign.jpなど)をハッシュ化し、その顧客が閲覧したページなどの履歴情報などと併せて協業先の企業B社に提供していたとします。ところが企業B社がハッシュ化されたメアドを流出させる事故を起こしました。この場合、A社はメールアドレスをハッシュ化したうえでB社に提供しているので大丈夫(個人情報の第三者提供に該当しないので問題ない)でしょうか? データサイン ビジネスディベ
『『『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント』へのコメント』へのコメント
「ハッシュ化保存で現実的な時間内に実現する」→ 本件ではハッシュ化保存はされていない。私が言っているのは「ハッシュ化されていないが、暗号化されている」だ。一般にハッシュ化は「不可逆暗号」とされている。
今までWordPressやPHPを触ったことは無く、お仕事で必要になりお勉強している初心者です。 初めての分野なので専門家の方なら当たり前かもしれませんが、WordPressが保存するパスワードの形式が気になったので調べたことを書きます。 気になったこと WordPressのDBに存在するユーザーデータを検索したときのことでした。 $ mysql -udbadmin -p -e " SELECT user_login,user_pass FROM db.wp_users;" +------------+------------------------------------+ | user_login | user_pass | +------------+------------------------------------+ | wpadmin | $P$BAK.qXtgo8dRgd
今さら聞けないハッシュ化
これは一般に「レインボーテーブル」と呼ばれる攻撃手法です。 こういった攻撃手法に対応すべく、ハッシュ化にはいくつかの工夫がされるのが一般的です。 ソルト Salt(ソルト)はハッシュ化される前の文字列(平文)に付随される任意の文字列です。 例えば、パスワードをハッシュ化するにあたり「ユーザID」をSaltとして使うことで 「同じabcdefgというパスワードを設定しているユーザがいても、出力されるハッシュ値が異なる」 という状態にすることができます。 こうすることで先のレインボーテーブル上にpasswordやadminといったよく使われるパスワードの平文とハッシュ値があったとしても、実際のパスワードの推測がしにくくなります。 ペッパー Saltはその性質上、ハッシュ値と対応して管理されていることが多いです。 上記の例でいうところの、「パスワードのハッシュ値」と「ユーザID」はおそらく同じテ
はじめまして、PMをやっているtatsukenと申します。はじめまして 研修の一環でvue.js、expressを書くことがあったので、そのことを中心にまとめていきたいと思います はじめに パスワードをデータベースに保存するときにはその情報をハッシュ化する必要があります。 なぜパスワードをハッシュ化しないといけないかなどを詳しく知りたい方はこちらを参考にしてみてください。 今回はbcryptというライブラリを使ってデータのハッシュ化を行って行きたいと思います。 実装 インストール npm install bcrypt -s
![[node.js]Expressでパスワードのハッシュ化を行おう - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/25947ad18b40f5cce3f368f93d044e1cdf1442d3/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-412672c5f0600ab9a64263b751f1bc81.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk3MiZoPTM3OCZ0eHQ9JTVCbm9kZS5qcyU1REV4cHJlc3MlRTMlODElQTclRTMlODMlOTElRTMlODIlQjklRTMlODMlQUYlRTMlODMlQkMlRTMlODMlODklRTMlODElQUUlRTMlODMlOEYlRTMlODMlODMlRTMlODIlQjclRTMlODMlQTUlRTUlOEMlOTYlRTMlODIlOTIlRTglQTElOEMlRTMlODElOEElRTMlODElODYmdHh0LWFsaWduPWxlZnQlMkN0b3AmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZzPWJhNzM3ZGM0NTI4ODg2N2ExYjc4YjFjNGFmY2NlMjhl%26mark-x%3D142%26mark-y%3D57%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZoPTc2Jnc9NzcwJnR4dD0lNDB0YXRzdW1pNDQmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTk2NDk4YzczM2RjMDM5YzRjMWYzNjBhMWZiN2E4NTg4%26blend-x%3D142%26blend-y%3D486%26blend-mode%3Dnormal%26s%3Dbccec15475351c3c383cbd80ab9e234d)
はじめに 今回、JavaScriptの暗号化用ライブラリ、「crypto-js」を使う機会があったので、 その際に得た知見をメモ、共有するために記事を執筆します! それでは行きましょう! crypto-jsとは何か crypto-jsのGitHubリポジトリはこちらです。 用途としては、パスワードや何かしらの値を暗号化、ハッシュ化したいときに使用します。 READMEに書いてあるとおり、非常にシンプルに使用することができます。 。。が、ここで落とし穴が! ドキュメントの通り、AESで暗号化しようとしたところ、いくつかハマりどころがあったので以下で解説します。 これからcrypto-jsを使おうとしている方、それから未来の自分に対してメモを残します笑 AESで簡単に暗号化する AESで暗号化するためには、まずcrypto-jsのパッケージをインストールしましょう。
『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント
政治と経済 ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
個人情報保護法対応:ハッシュ化すれば同意を得ていない個人情報も利用できるのか - DataCleanRoom ヘルプページ
利用するデータが個人情報であっても、ハッシュ化をすればユーザーから第三者提供同意を得ずとも利用することができるのか。 そんな疑問がふと沸いてしまうことがあります。 ユーザーを特定できないようにする作業がハッシュ化で、つまりハッシュ化してしまえば、そのIDがどこのだれなのか全くわからなくなる、だから同意とか関係なく使えるのでは。 そんな理解は、正しいのでしょうか? 結論から言えば、間違っています。 もし仮に、その理解が正しいとすると、ありとあらゆるデータが非個人情報として処理できるため、世の中で同意が必要なことが何一つなくなってしまいます。 とはいえハッシュ化は不可逆なIDの変換、なぜそれが個人情報であることをやめられないか、で言いますと‥ ハッシュ化は”データ送信・授受に際しての安全性を高めるための措置”であり、”送信される情報そのものの性質”が変わるものではありません。 法律的な整理で言
Goでパスワードのハッシュ化
クラッカーの攻撃を受けた場合に備えて、DBに保存するユーザーのパスワードはハッシュ化しておくと安心です。 GoではArgon2やscrypt、bcryptといったアルゴリズムで実装することができるようですが、bcryptを実装してみたので、情報をまとめます。 bcryptoパッケージの使い方bcryptは golang.org/x/crypto に含まれていて、import文に追加するだけで利用できます。 import ( "golang.org/x/crypto/bcrypt" ) 暗号化(ハッシュ化)下記はプレーンテキストの文字列をハッシュ化する関数です。 # 第一引数に文字列、第二引数は暗号化のコスト hash,err:=bcrypt.GenerateFromPassword([]byte("plain text"),12) 第二引数は暗号化の強度。4~31までの数字を入れることがで
Spring bootで、パスワードをハッシュ化して会員登録 & Spring securityを使って、ログイン機能実装。 - Qiita
Spring bootで、パスワードをハッシュ化して会員登録 & Spring securityを使って、ログイン機能実装。JavaSpringBootSpringSecurity 概要 Spring securityを用いたユーザ認証の実装方法を紹介します。 まず、パスワードをハッシュ化して新規会員登録を行う方法を紹介した後に、 Spring securityを使用してユーザ認証を行う方法を紹介します。 想定読者 Springとmybatisを使ってDB操作を行ったことがある人。 javaの基本的な文法を知っている人。 今回は以下の環境で動作確認しています。 環境 OS: macOS Mojave 10.14.2 Spring Boot version: 2.1.1.RELEASE mybatis version: 1.3.2 JDK version: 1.8 ブラウザ: safari
はじめに パスワードのハッシュ化とパスワードの認証をする方法について本やネットの情報から調べて理解したことをまとめました。 もし、書いていることに何か間違いがある場合はご指摘いただけると嬉しいです。 ここでは、password_hash関数とpassword_verify関数を使ってパスワードのハッシュ化とパスワードの認証をする方法について解説します。 ハッシュ化とは 「ハッシュ化」とは、ハッシュ関数によって文字列を置換して、元の文字を推測できなくすることです。 以下のpasswordの部分がハッシュ化された値です。 ハッシュ関数とは ハッシュ関数(md5、sha1、sha256、password_hash関数 など)を使うと、特定の決まりに基づいて文字列を置換します。 ハッシュ化は不可逆変換しているため、一度ハッシュ化すると元に戻すことはできません。 ハッシュ化をする2つの理由 ハッシュ
Laravelで独自のクラスを使ってパスワードをハッシュ化する - Innovator Japan Engineers’ Blog
今回は、以前行ったアプリケーション移行時の、ユーザーデータ移行について書こうと思います。 ユーザーへの負担を避けるため、現行のパスワードを維持したいという要件があったことがキモです。 ちなみに、移行したときのLaravelのバージョンは5.6.39です。 概要 パスワードチェックの変更 デフォルト 今回つくった処理 依存解決の変更 saltなどの保存 まとめ 余談 概要 ※ [お断り] この記事では一般的な認証の仕組みなどは説明しません。 移行元は、ログインの仕組みを持つアプリケーション(Laravel製ではない)です。 このアプリケーションのユーザーデータを、別アプリケーション(Laravel製)に移行しました。 ここでいくつか注意点があります。 移行後にパスワードの再設定は行わない(ユーザーへの負担を避けるため) 移行後では同一アプリケーションで別認証(bcrypt)もある 移行元では
概要 たまにパスワードをそのまま(平文で)DBに保存しているという話を聞く。 Pythonの標準モジュールに文字列をハッシュ化できるモジュールhashlibがあったので使ってみた。 ハッシュ化とは あるアルゴリズムによって文字列を規則性の見えない文字列に変換する。 ハッシュ化のアルゴリズムは数種類ある。 ハッシュ化によって生成された文字列をハッシュ値という。 ハッシュ値から元の文字列を生成することは難しい。 パスワードの管理などに利用される。 逆にパスワードをそのまま保存するようなウェブサイトは安全性に疑問があるし、万が一情報が流出したら他人のアカウントで容易にログインでき、個人情報の抜き取りや他人のクレジットカードを使った買い物などが発生してしまう。 一見規則性が見えないが、実際は規定のアルゴリズムにより生成されているので、何度やっても同じハッシュ値が生成される。 サンプル MD5、SH
ブックマークしました ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください Twitterで共有
質問をすることでしか得られない、回答やアドバイスがある。15分調べてもわからないことは、質問しよう!新規登録して質問してみよう
インターネット上で安全にデータを保管・通信するために開発された技術の一つとして知られる、ハッシュ化と暗号化。しかし、その違いを正確に理解することに難しさを感じる人も少なくないのではないだろうか。この記事では、ハッシュ化と暗号化の違いを明らかにした上で、その安全性について解説する。 ハッシュ化と暗号化の違いは「不可逆性」 ハッシュ化とは特定の計算手法に基づいて、元のデータを不規則な文字列に置換する処理を指す。代表的な使用方法としては、パスワードをハッシュ化して保存・管理することが挙げられる。第三者が不正にパスワードへアクセスしたとしても、ランダムな文字列に変換されていることで、悪用されるのを防げるためだ。 ハッシュ化を施すアルゴリズムはハッシュ関数と呼ばれ、ハッシュ関数によって生成されるランダムな文字列はハッシュ値と呼ばれる。ハッシュ関数は入力する元データによって異なるハッシュ値を返す。同じ
本題 Laravel 10.10 にて hashed という cast タイプが追加されました。 [10.x] Add 'hashed' cast #46947 これは、今までパスワードを保存する際に手動でハッシュ化していた作業を自動で行ってくれる機能ですね。 つまりこのキャスト機能を使って、 とやれば、後は Laravel が保存前にハッシュ化した上で保存してくれるという事です。 なかなか便利そうですが、1つ出てくる懸念点としては、ライブラリとかを使用していると、そのライブラリとかはハッシュ化した上で保存するだろうから、2重でハッシュ化されてしまうのでは?という点がありましたが、意外とそこまで考慮して作ってありました。 つまり、 のようにしても、既にハッシュ化済みと見なされる時は、再度ハッシュ化はしないで、そのまま保存してくれるという事です。 とは言え、初期版には一部問題も リリースほや
Pythonでpasslibを用いてPBKDF2-SHA256アルゴリズムを使用してハッシュ化したパスワードを検証する
Pythonでpasslibを用いてPBKDF2-SHA256アルゴリズムを使用してパスワードをハッシュ化し、ハッシュ化したパスワードをverify()で検証してみます。 今回はpasslibを用います。このライブラリ・モジュールは、Pythonの標準ライブラリではありませんので、事前にインストールする必要があります。 ■Python 今回のPythonのバージョンは、「3.8.5」を使用しています。(Windows10)(pythonランチャーでの確認) ■passlibを用いてPBKDF2-SHA256アルゴリズムを使用してハッシュ化したパスワードを検証するでは、早速passlibを用いてPBKDF2-SHA256アルゴリズムを使用してハッシュ化したパスワードを検証するスクリプトを書いていきます。 ■コードfrom passlib.hash import pbkdf2_sha256 h
【GraphQL】パスワードをハッシュ化する
パスワードは、今のところ登録した内容のまま保存されます。 これでは、セキュリティ上よくないので、暗号化して保存します。 コードは、前回のコードを使用します。 コードを暗号化するには、bcryptjs というライブラリを使用します。 bcryptjs は、パスワードをハッシュ化してくれるライブラリです。 ターミナルで、npm install --save bcryptjs @types/bcryptjsを実行します。 resolvers フォルダの Mutation.ts で、bcrypt をインポートします。
Google 広告のカスタマーマッチや、Twitter広告のリストに基づくテイラードオーディエンスを利用する場面など、広告主が持つe-mailアドレスのリストを各プラットフォームにアップロードし、広告のターゲティングに活用する機会が増えてきました。 しかし、個人情報が判別できてしまう状態のままのe-mailアドレスリストをアップロードすることに抵抗がある方も少なくないかと思います。 また、広告の運用を広告代理店にお願いしているケースでは、個人情報が判別できる形のリストを広告代理店の担当者に渡すことなども、当然ですができません(契約上OKのケースもあるかもしれませんが…)。 こういったセキュリティのリスクに対して、プラットフォーム側は予めハッシュ化(暗号化)されたe-mailアドレスリストのアップロードに対応しているケースが多いです。 ハッシュ化されたリストのアップロードに対応している媒体
前回:やられアプリ BadTodo - 17.2 補足 保存するパスワードのハッシュ化 - demandosigno 今回の内容は記事の最後にリンクを貼った徳丸さんの解説動画の内容などから自分なりにまとめたものです。(細かい点はわざと省いています。徳丸さんの動画はとても分かりやすいですのでぜひ全編視聴してみてください) これらを踏まえた上で、次回のハッシュ値の解析に進みます。 データベースに保存されるデータは盗まれた際の保険として暗号化されます。 データベース暗号化の目的 重要情報を保護したい 情報が漏洩しても悪用されないようにデータを暗号化する つまり情報漏洩に対する緩和策です。 (暗号化 AES:共通鍵, RSA:公開鍵。AES-256:Amazon RDS, S3, IAM など) 一方、前回 password_hash 関数を使ったように、パスワードはハッシュ値で保存されることが多
あれ、オカンとボクと、時々、オトン風な記事名、 前も使ったような… それにしても休日終わるの早杉内。 今日も元気にジマテーションです。 今日は家で鳥くん達とお絵かきしてました。 せっかくなので、わたしの絵と鳥(カツ)コラボしました。 キュウべぇならぬ、カツべぇです… ンガワイイ!!!!(親ばか) 既に契約済みのまどっちに声をかけています! アホガワイイ!!!! 雑談はこのくらいにして、 今日は暗号化とハッシュ化の違いについて ちょちょっとまとめるでござる。 違いも何も、暗号化とハッシュ化って全然別物やん! 何言うてんのこのこは! と、思った方はそっと退出をお願いします… わたしついこの間まで 「暗号化」と「ハッシュ化」って同義語だと思ってました。 業務中に、暗号化するメソッドを作ったり、 ハッシュ化するメソッドを作ったことはあったんだけど、 2つの単語についてちゃんと調べたことがなくて、
ハッシュ化、ハッシュ値とは? - Qiita
まずハッシュ値とは何か! ハッシュ化とは入力データを一定の手順で計算し決まった長さの文字列を出力する事。 入力データが一緒だとハッシュ値も同じ。 メリット! データ確認ー文字列をハッシュ下するメリットとしては入力値の長さが関係なくハッシュ値の長さは同じなため、例えば膨大なファイルが二つあるとして、そのファイルが同じ内容か確認するとき、ハッシュ値に変えて確認すると早い。 パスワード管理ー同じ文字列をハッシュ化するとハッシュ値は同じなものの、ハッシュ値から元の文字列には戻せないため、パスワード管理などに使用されることが多い。 暗号化とは違うのか ハッシュ化は暗号化とは違います。 例えばパスワードを設定し何かしらで鍵をかけて暗号化します。ここまでは同じですが暗号化は鍵を開けると元の入力データを復元することができます。 ハッシュ値はもとに戻すことを前提に作られてないからです。 ハッシュ化の方法 ま
password -> B109F3BBBC244EB82441917ED06D618B9008DD09B3BEFD1B5E07394C706A8BB980B1D7785E5976EC049B46DF5F1326AF5A2EA6D103FD07C95385FFAB0CACBC86 【認証処理におけるハッシュ化の使い方】 認証処理においては、パスワードを管理するファイルやデータベースに、ハッシュ化された形でパスワードが保持されます。 認証を行う際には、ユーザーから入力されたパスワードをハッシュ化し、ファイルやデータベースに保持されているハッシュ化された文字列と一致することを確認することで妥当性を確認します。 なお、システムの管理者もパスワードの平文を知ることができないので、ユーザーがパスワードを忘れてしまった場合はパスワードを再作成する運用を行います。 【レインボーテーブルによる攻撃】 不正
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
メールアドレスをハッシュ化したものを公開してもよいのか - しまたろさんの掃き溜め
OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化
ハッシュ化のソルト(salt)とペッパー(pepper)についてまとめた - Qiita
森永製菓、職員など4882件の情報漏えいの可能性 社内システムのIDやハッシュ化パスワードなど
同一画像を判定するためのハッシュ化アルゴリズム - Qiita
「ハッシュ化」と「暗号化」、その違いと安全性は?
パスワードをハッシュ化する方法:セキュリティ強化への一方通行
画像をハッシュ化しRDBMSに記録し、SQLで類似画像を検索する - Qiita
WordPressのDBに保存されているハッシュ化されたパスワードの値が気になったので調べた話
[node.js]Expressでパスワードのハッシュ化を行おう - Qiita
crypto-jsを使って簡単に暗号化・ハッシュ化する方法 - Qiita
【PHP】パスワードのハッシュ化とパスワードの認証をする方法 - Qiita
Python: 文字列のハッシュ化で安全なパスワード保存 - Qiita
『何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog』へのコメント
なぜdevise等の認証(パスワード)は非可逆なハッシュ化をしているのにログインが出来るのかが分からない
ハッシュ化と暗号化の違いとは? | サイバーセキュリティ情報局
Laravel 何気に便利かも知れない。パスワードをハッシュ化してくれる hashed cast
メールアドレスをSHA-256でハッシュ化するExcelマクロ(ソルト値対応版)
やられアプリ BadTodo - 17.3 パスワードハッシュ化の目的 - demandosigno
用語まとめ~暗号化とハッシュ化、時々エンコード~ - おしりんブログ
ハッシュ化(暗号化)におけるソルトとは – サイゼントの技術ブログ