OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す
bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
Dropboxはどうやって著作権侵害ファイルを特定しているの?
Dropboxはどうやって著作権侵害ファイルを特定しているの?2014.04.03 11:3019,205 覗き見はしてないよ。 先週末の騒ぎで、Dropboxが非公開フォルダの中の著作権侵害ファイルを削除できることを初めて知った方もいるかもしれません。またDropboxに非公開ファイルの中身を閲覧されているのでは心配になった方もいるかもしれませんね。でもファイルの中身は見られていないのでご安心を。実はDropboxは何年も前から、ファイルの中身を見ないで著作権侵害ファイルを削除できる対策を導入していたんです。 週末の騒動の発端はDarrell Whitelaw(@darrellwhitelaw)(ダレル・ワイトロー)さんのツイート。Darrellさんは非公開フォルダ内のファイルがデジタルミレニアム著作権法違反を理由にDropboxに削除されたとツイートしました。これが3500名を超える人
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
