1

ハッシュを使用してWebサイトにセキュリティを実装する方法について読んだことがありますが、銀行やクレジットカードの保管など、非常に機密性の高いものを作成しているわけではありません。ただし、ベストプラクティスを知りたいと思います。私のサイトにはAES256のTLS証明書があります

主な問題:

1.)セッションを通じてハッシュ化されたパスワードを再度ハッシュ化して送信することが、セッションをかなり安全に保つために私が考えることができる唯一の方法のようです。私の意見では、ユーザーがその値を見つけてもかまいませんが、ユーザーがデータベースを表示する方法を見つけて、私の暗号化アルゴリズムが何であるかを正確に知っているかどうかは気になります。

2.)パスワードをハッシュする前にアルゴリズムを完全に削除する必要がありますか、それとも別のハッシュ方法を使用する必要がありますか?

衝突とブルートフォースに関しては両方とも健全であるため、bcryptの前または後にsha512を使用しても大丈夫ですか?

4

1 に答える 1

1

個人的には、ログイン時の保存と比較のためにSHA512パスワードを使用し、セッショントラッキングのhash('sha512', $username.$salt.$password);場合、このキーをセッションに保存し、データベース内のユーザーのキーと比較してセッションを認証します。

これに関するセキュリティの問題はまだ発生していません。ユーザーのユーザー名、パスワード、およびユーザーソルト(明らかにデータベースに保存されるべきではない)を知らない限り、キーを偽造することはできないはずです。誰かがあなたのデータベースとあなたのコードの両方にアクセスできない限り安全です(この場合、ユーザーのパスワードを保護するよりも大きな問題があります;))

于 2012-02-03T05:14:27.507 に答える