0

MySQL / Visual Studio 2010 (VSTO Visual Basic) でのパスワードの保存/取得に関していくつか質問があります。彼らが率直であることを願っています!

SHA-2 質問

MySQL を使用して (PHPMyAdmin インターフェイスを介して) テーブルを作成し、ユーザー ID とパスワードの 2 つの列だけを格納しています。SO およびその他のリソースの束を読んだ後、SHA-2 暗号化とソルティングを使用してパスワードを保存することが実行可能なオプションのようです。これは正しいです?

VISUAL STUDIO 2010 に関する質問

Visual Studio 2010 で VSTO プロジェクトを構築しており、Visual Basic を使用してテーブル内のデータにアクセスする予定です。ユーザーが入力したパスワードを SHA-2 アルゴリズムでエンコードするにはどうすればよいですか? このプロセスに関する「現在の」ガイドが見つからないようです。SHA-2アルゴリズムをVS2010に処理できる拡張機能をダウンロード/インストールする必要があると思います。ここでのプロセスは、Excel 内に構築された「ログイン システム」を持っていますが、MySQL テーブル内の既存のデータと比較して、ユーザー名とパスワードの組み合わせを確認したいと考えています。

塩漬けの質問

また、ソルティングは、私が読んだすべての場所で実質的に強く推奨されるため、「s@w0s9w%$x」のようなランダムな文字列を使用することにしました。データベース.これは十分に安全ですか?ユーザーごとに異なるソルト ワードを使用し、これを追跡するにはどうすればよいでしょうか?ユーザー名とソルト ワードの組み合わせを別のテーブルに単純に保存し、後で抽出しますか?

編集:さらに情報を追加しました!

4

1 に答える 1

1

独自のパスワード ハッシュ スキームを作成しようとしないでください。代わりに、よく知られているものを使用してください。通常、 BcryptScrypt、およびPBKDF2の 3 つのオプションがあります。これらはセキュリティの専門家によって設計されており、長い間存在しており、壊れていません。実装は多くの言語で利用できます。

塩漬けの質問については、基本的な考え方は正しいです。通常、ソルトはパスワードとともにデータベースに保存されます。ソルトはシークレットとは見なされませんが、ユーザーごとに一意である必要があります。Bcrypt ハッシュには既にソルト自体が含まれているため、心配する必要はありません。

security.se の関連回答: https://security.stackexchange.com/a/6415/20774

パスワードハッシュに関する素晴らしい記事: http://crackstation.net/hashing-security.htm

于 2013-06-20T04:47:03.460 に答える