SHA1 でパスワードを暗号化し、salt を追加してから bcrypt で暗号化するとします。暗号化されていないパスワードにソルトソルトを追加してから bcrypt で暗号化するよりもはるかに安全ですか?
ありがとうございました。
1 に答える
5
パスワードを bcrypt に渡す前にパスワードの SHA-1 ハッシュを計算しても、追加のセキュリティは提供されません。
せいぜい、bcrypt のセキュリティを保持します。初期パスワードに SHA-1 を適用しても、エントロピーが追加されたり、結果の範囲が拡大したりすることはありません。そのため、結果のセキュリティはせいぜい bcrypt 自体と同程度になります。
しかし、アントワーヌ・ジューの調査によると、おそらくそれよりもさらに悪いことが示されています。マルチコリジョンを使用すると、セキュリティが弱まり、結果として得られるスキームがbcrypt を単独で使用するよりも安全性が低くなる可能性さえあります。
一般に、暗号化プリミティブは、指定されたとおりに使用するのが最適です。これにより、結果が安全であることが少なくとも少しは保証されます。物事を「改善するために」手動でスキームに追加すると、ほとんどの場合、元のものよりも安全性の低いものになります。
于 2012-06-14T14:29:43.997 に答える