ソルトもストレッチングも両方必要 - passingloopの日記ある条件のもとでパスワードを守るには、ソルトもストレッチングも両方必要です.本当は怖いパスワードの話 (1/4):ハッシュとソルト、ストレッチングを正しく理解する - @IT がその理由の良い解説になっているのですが,4 ページに分かれていて長いので Q&A 形式でまとめてみました. ここからの話の前提として,システムに侵入され root 権限を取られたときのことを考えています. ソルトとストレッチングが必要な理由 Q. パスワードを暗号化でなくハッシュで保存するのはなぜか? A. 暗号化されたパスワードは復号鍵で容易に復元できるから パスワードを暗号化しただけでは,「root 権限の奪取」即「パスワードの流出」となってしまいます.技術的な注意を怠っていたとか過失があるとか非難されても仕方がないレベルです. Q. 単純なハッシュではなくソルトやストレッチングを使うのはなぜか? A. ユーザ
