3

MySQLのパスワード機能を使用してDBにパスワードを保存することは、これと同じくらい悪いですか?

http://money.cnn.com/2012/06/06/technology/linkedin-password-hack/?source=linkedin

SHA-1の問題は、毎回同じテキストを同じ方法で翻訳することです。したがって、パスワードが「password」であり、友人のパスワードも「password」である場合、それらはまったく同じ方法でハッシュされます。これにより、元のパスワードを明らかにするためのプロセスを逆にすることが非常に簡単になります。

SHA-1と書かれていることは知っていますが、無塩の一方向ハッシュでも同じ問題が発生することは明らかです。

4

2 に答える 2

3

MySQLのパスワード機能を使用してDBにパスワードを保存することは、これと同じくらい悪いですか?

はい。

一般的に言えば、塩を含み、できればユーザーごとに固有であり、ブルートフォースクラッキングを防ぐために実行が遅い方法を使用する必要があります。Bcryptは、意図的に(比較的)作成が遅いため、パスワードを保存するときに現在推奨されている方法です。

于 2012-06-07T16:21:14.033 に答える
2

MySQLのドキュメントには、独自のアプリケーションでPASSWORD()関数を使用するべきではないと記載されています。

PASSWORD()関数は、MySQLサーバーの認証システムによって使用されます。独自のアプリケーションで使用しないでください。

内部的には、MySQLのPASSWORD()関数はSHA1(2)、つまりSHA1を2回利用します。ただし、塩は使用していません。したがって、はい、それはまだレインボーテーブル攻撃に対して脆弱です。

于 2012-06-07T17:09:48.500 に答える