3

アプリと IPB フォーラムの間でログインを共有しようとしています。

Invision が認証情報を共有するためのモジュールを提供していることを確認しました: IPS Connect

簡単にするために、マスター アプリケーションと 1 つまたは複数のスレーブがあります。スレーブは、マスターが API を介して保存する必要がある資格情報を送信しています。

問題は、registerorloginメソッドの IPB がmd5パスワードのハッシュを送信していることです。md5データベースにan を保存する方法はないので、次のようなハッシュで使用bcryptすることを考えていましたmd5

$storedPassword = bcrypt(md5(pwd) + salt);

この代替案についてどう思いますか? md5 ハッシュの上に bcrypt でハッシュするのは良い習慣ですか?

4

2 に答える 2

1

アプリケーションで使用する$storedPassword = bcrypt(md5(pwd) + salt);のはまったく問題ありませんが、セキュリティに関してはほとんどメリットがありません。また、独自のソルトを暗号化に追加する必要もありません。bcrypt はそれを内部的に処理するので、salt をどこにも保存する必要はありません。

攻撃者は最も弱いリンクをターゲットにし、他のサーバーが md5 のみを使用している場合、そのサイトを攻撃してパスワードを取得することができます。

しかし、もう一度。すべてを開けっ放しにしておくよりも、ドアを 1 つ閉めたほうがよいでしょう。

于 2013-05-06T14:00:15.373 に答える