ソース コードがパブリック リポジトリにチェックインされているアプリケーションがあります。このソース コードには構成ファイルが含まれており、それらの構成ファイルには SHA-256 ハッシュ化されたパスワードが含まれています。
私の理解では、ハッシュ化されたパスワードに関しては、エンドユーザーは実際にハッシュを生成するために使用したパスワードを入力する必要はありませんが、同じハッシュ値を生成する任意のパスワードを入力する必要があります。これは衝突と呼ばれるものだと思います。
では、誰かがそのハッシュを取得して、アプリケーションへのアクセスに使用できるパスワードを生成 (またはコレクションを生成) できないことを合理的に保証して、ハッシュ化されたパスワードを公開することはできますか? それは、これらのハッシュ アルゴリズムが作ろうとしている保証ですか?
一般的なケースでは、SHA-2 に対する既知の実際的な攻撃はありません。ただし、レインボー テーブルや辞書攻撃などがあるため、一般的にハッシュ化されたパスワードは秘密にしておく方がよいと考えられています。ソルティング、ラウンド ロビン ハッシュ、適切な長いパスフレーズなどの適切な予防措置を講じていれば、完全に安全なはずです。
ただし、これはやらないほうがよいでしょう。将来、どのような暗号攻撃が開発されるかはわかりません。
誰かがHASH、SHA1、SALTなどを元に戻す可能性は低いです。1つを元に戻す方法はいくつかありますが、それだけのリスクがあると思われる場合は、セキュリティを最大化するためにSHA1とSALTを使用します。パスワードが長いと元に戻すのが難しくなりますが、実際に熟練したコーダーでない限り、パスワードの犠牲になることはあまりありません。
ウィキペディアでアルゴリズムを読んでください...
SHA1: http: //en.wikipedia.org/wiki/SHA-1
SALT: http: //en.wikipedia.org/wiki/Salt_ (cryptography )
一意のパスワードを使用するだけで問題ありません;-)