アカウント名:
パスワード:
いくらハッシュ化されてても元の文字列よっては簡単に解読できるんだよねぇ。
昔、『自分の名前や利用サービス名をハッシュ化して、それをパスワードとして使えば、忘れても簡単に再作成出来るし、文字列としてはランダムでセキュアじゃん!』って思ったけど、案外そうもいかないのよね……
やっぱり、塩気は大事だよ、うん。
手前味噌ですが、塩の効果を書いた事があります。
塩加減は重要? [hatena.ne.jp]
「お前じゃ、話にならねぇんだよ」という方には、徳丸さんの記事を。
ソルトとはなんですか? [atmarkit.co.jp]
ポイントは、ソルトの効果があるのは、レインボーテーブルによる解析に対してのみ。ブルートフ
ソルトは個々のパスワード・アカウントごとに違う値を使う、って明示しておいたほうがいいかと。
#ハードコードした似非ソルトを使う誤った用法をよく見かけるので
> ソルトは個々のパスワード・アカウントごとに違う値を使う、って明示しておいたほうがいいかと。
そんな必要、ありますか?(理由は?)
個々のアカウント毎にレインボーテーブルを作るコストが発生するからですなお、パスデータが漏れる状況ではハードコードした似非ソルトも漏れるものと考えるべきですし、アカウントを自作すればソルトを容易に探索できてしまいます。固定ソルトが分かった時点でレインボーテーブル作成コストは変わらなくなります
salt が同一だと、同じパスワードは同じハッシュになってしまいます。個別のパスワードの解析に対しては同じですが、パスワードが大量に流出し、そこに自分の情報が含まれていたとしたら、同じパスワードを使っている人を特定できますね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
5f4dcc3b5aa765d61d8327deb882cf99 (スコア:1)
いくらハッシュ化されてても元の文字列よっては簡単に解読できるんだよねぇ。
昔、『自分の名前や利用サービス名をハッシュ化して、それをパスワードとして使えば、忘れても簡単に再作成出来るし、文字列としてはランダムでセキュアじゃん!』って思ったけど、案外そうもいかないのよね……
やっぱり、塩気は大事だよ、うん。
ソルトの効用 (スコア:5, 参考になる)
手前味噌ですが、塩の効果を書いた事があります。
塩加減は重要? [hatena.ne.jp]
「お前じゃ、話にならねぇんだよ」という方には、徳丸さんの記事を。
ソルトとはなんですか? [atmarkit.co.jp]
ポイントは、ソルトの効果があるのは、レインボーテーブルによる解析に対してのみ。ブルートフ
Re:ソルトの効用 (スコア:2)
ソルトは個々のパスワード・アカウントごとに違う値を使う、って明示しておいたほうがいいかと。
#ハードコードした似非ソルトを使う誤った用法をよく見かけるので
Re: (スコア:0)
> ソルトは個々のパスワード・アカウントごとに違う値を使う、って明示しておいたほうがいいかと。
そんな必要、ありますか?(理由は?)
Re:ソルトの効用 (スコア:2)
個々のアカウント毎にレインボーテーブルを作るコストが発生するからです
なお、パスデータが漏れる状況ではハードコードした似非ソルトも漏れるものと考えるべきですし、アカウントを自作すればソルトを容易に探索できてしまいます。固定ソルトが分かった時点でレインボーテーブル作成コストは変わらなくなります
Re:ソルトの効用 (スコア:1)
salt が同一だと、同じパスワードは同じハッシュになってしまいます。
個別のパスワードの解析に対しては同じですが、パスワードが大量に流出し、
そこに自分の情報が含まれていたとしたら、同じパスワードを使っている人を特定できますね。