アカウント名:
パスワード:
いくらハッシュ化されてても元の文字列よっては簡単に解読できるんだよねぇ。
昔、『自分の名前や利用サービス名をハッシュ化して、それをパスワードとして使えば、忘れても簡単に再作成出来るし、文字列としてはランダムでセキュアじゃん!』って思ったけど、案外そうもいかないのよね……
やっぱり、塩気は大事だよ、うん。
手前味噌ですが、塩の効果を書いた事があります。
塩加減は重要? [hatena.ne.jp]
「お前じゃ、話にならねぇんだよ」という方には、徳丸さんの記事を。
ソルトとはなんですか? [atmarkit.co.jp]
ポイントは、ソルトの効果があるのは、レインボーテーブルによる解析に対してのみ。ブルートフ
素人考えですが、「パスワードのハッシュ値とソルトを保存しておく」って記述を見る度にパスワードが漏洩してる状況では、ソルトもセットで漏洩してるから意味無いなと。
# 実際の実装だと、IDとかメアドとかをこねくり回してソルトを生成してたりするんでしょうか。# それでも、プログラムソース流出したら終わるけど
せっかく2つもリンクつけてくれてるんだから読んでやれよ。どんな攻撃にメリットがあってどんな攻撃にまったくメリットがないかわかりやすくかいているんだからさ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
5f4dcc3b5aa765d61d8327deb882cf99 (スコア:1)
いくらハッシュ化されてても元の文字列よっては簡単に解読できるんだよねぇ。
昔、『自分の名前や利用サービス名をハッシュ化して、それをパスワードとして使えば、忘れても簡単に再作成出来るし、文字列としてはランダムでセキュアじゃん!』って思ったけど、案外そうもいかないのよね……
やっぱり、塩気は大事だよ、うん。
ソルトの効用 (スコア:5, 参考になる)
手前味噌ですが、塩の効果を書いた事があります。
塩加減は重要? [hatena.ne.jp]
「お前じゃ、話にならねぇんだよ」という方には、徳丸さんの記事を。
ソルトとはなんですか? [atmarkit.co.jp]
ポイントは、ソルトの効果があるのは、レインボーテーブルによる解析に対してのみ。ブルートフ
Re: (スコア:0)
素人考えですが、「パスワードのハッシュ値とソルトを保存しておく」って記述を見る度に
パスワードが漏洩してる状況では、ソルトもセットで漏洩してるから意味無いなと。
# 実際の実装だと、IDとかメアドとかをこねくり回してソルトを生成してたりするんでしょうか。
# それでも、プログラムソース流出したら終わるけど
Re:ソルトの効用 (スコア:1)
せっかく2つもリンクつけてくれてるんだから読んでやれよ。
どんな攻撃にメリットがあってどんな攻撃にまったくメリットが
ないかわかりやすくかいているんだからさ。