パスワードを忘れた? アカウント作成

フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果」記事へのコメント

  • デフォルトでは暗号化しない派だが、できないと思われるのは癪なので
    各言語でどうするか、ぐぐって調べてみた。

    私が実装するなら条件は以下にする。
    salt: 固定値(uuidから生成)
    基本sha256化
    ストレッチング: しない(将来の機能に期待する)

    (1) JavaScript => しない。まだ無理そう。サーバ側で暗号化する
    (2) perl => Digest::SHA。hmac_sha256_hex
    (3) python => hashlib.sha256().hexdigest
    (4) ruby => bcrypt
    (5) PHP(7.0) => password_hash/verify
    (6) Java => 基本はHMAC-SHA-256。実装すると長そうなので割愛。

    これぐらいなら30分で調べられるし、実装も難しくない。

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...