いぬごやねっと4geek.net 2024 著作権. 不許複製 プライバシーポリシー
Spring Securityでセキュリティを強化する #2 - m-namikiの日記
前回の記事ではアカウントのロックアウトについて考えてみました。今回はパスワードのSalt対応について考えてみます。 パスワードのSaltについてですが、今回は分かりやすくするためにユーザIDをパスワードに追加したものをハッシュ化する、という方法を採ります。 パスワードを保護する場合の方法については、こちらのページが分かりやすいかと。 本当は怖いパスワードの話(1/4) − @IT SpringSecurityでは、Saltをユーザ情報のプロパティから取るか、システムで共通の値を取るかを指定することができます。 Saltをユーザ情報のプロパティから取得する場合は以下のように記述します。 <authentication-manager> <authentication-provider user-service-ref="myUserDetailsService"> <password-enc
パスワード保存とソルトの話
先日、twitterへのハッキング行為が発見された、という発表がなされました。一部のユーザのデータが漏洩したということです。 この件について個人的に懸念を感じたため、それをこちらに書いておきました。原文では encrypted/salted password と呼ばれていたものが、日本語の公式ブログでは「暗号化されたパスワード」となり、これが朝日新聞では「パスワード」と表記されているという問題です。 専門知識があれば、ここにどういう違いがあるかはわかるのですが、そうでなければわからないのも無理はありません。しかし、わからないからといって省略して良いわけでもありません。パスワードと encrypted/salted password は大きく異なります。 ではどう違うのか? この話について、ひと通りの解説をしてみるのも良いのではないかな、と思ったのでしてみます。 「パスワード」は保存されない
パスワードにストレッチングは必要か。
ECナビさんのBlogを発端とした、パスワードの暗号強度を高めるためにストレッチングは行うべきかという専門家の方のつぶやきのまとめ。途中からパスワードの定期変更は不要なのかについても派生していっていますが、一緒にまとめました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
