問題タブ [bcrypt]

タイトルはかなり自明です。これが存在するかどうかはわかりません。bcryptのセキュリティが大幅に低下するためですが、RailsアプリでDeviseを使用していて、パスワードを忘れてしまいました。ただし、サーバーにアクセスして情報を見つけることはできます。暗号化されたパスワードが表示され、復号化する必要があります。

この問題の代替ソリューションは必要ありません。パスワードを取得できるように、復号化機能が必要です。

PHP のドキュメントによると、bcrypt ソルトは

「$2a$」、2 桁のコスト パラメータ、「$」、およびアルファベット 22 桁の「./0-9A-Za-z」

したがって、crypt() 関数を使用してパスワードをハッシュすると、結果の出力にはソルトの一部として最初の 7 文字 (コスト パラメーターが 10 の場合は $2a$10$) が含まれます。インターネット全体で見つけることができた場合、この完全な出力が db に書き込まれます。

これらの最初の文字を残りのソルトと暗号化されたデータと共に保存することに何の意味があるのか​​ 疑問に思っています。それらの意味は私には完全に明らかですが、なぜそのような情報が残りのハッシュと一緒に書かれなければならないのか本当に理解できません. それらは、アルゴリズムと計算の適応コストに関する「単なる」情報ではありませんか? では、このようなアプリケーション関連の情報を保存する利点は何でしょうか? そして (幼稚に聞こえるかもしれませんが) なぜ最終的に私のデータベースを盗む攻撃者にそれらを開示するのでしょうか?

ムーアの法則に追いつく能力があるため、bcrypt を使用してパスワードをハッシュするという推奨事項を見てきました。

どうやらこれの理由は、攻撃者が bcrypt ハッシュをクラックするのに、SHA256 のような汎用ハッシュ関数によって生成されたハッシュよりもはるかに長い時間がかかるためです。

そんなことがあるものか？ムーアの法則にもかかわらず、アルゴリズムを意図的に遅くするにはどうすればよいでしょうか?

Rails/Devise アプリケーションをテストするために、100 人のユーザーを作成してログインしたいと考えています。

私は次のことを試しました：

の場合encrypted_password、パスワードが である別のユーザーから値をコピーしましたtesttest

test1@example.com問題:パスワードでログインできませんtesttest

私encrypted_passwordは塩を持っていると思うので、それを生成するためのツールが必要です。config.encryptorですbcrypt。bcrypt (Linux) をインストールしましたが、man ページは非常に短く、ファイルを暗号化する方法しか説明していないため、パスワードをソルトするのに最も便利なツールではないと思います。

ソルト化された 100 個のパスワードをすばやく作成するには?
100回サインアップするよりも速い何か。

パスワードは共有設定に保存されるため、アプリケーションのパスワードの暗号化に取り組んでいます

私はbcryptを見つけて、それについて多くの良いことを読みましたが、動作させることができません

jBCryptを使用しています。私は指示に従い、これをテストとして行いました

ただし、アプリケーションを実行するたびに、表示されるトーストが一致しませんか? したがって、ハッシュ化されたパスワードを共有設定に記録し、それをユーザー入力と比較すると、明らかに毎回異なるハッシュが与えられているため、毎回間違っていると表示されます。どうすればこれを使用できますか?

^{コストを少なくとも 16 (2 16} ) に設定する必要があるという記事を読んだことがありますが、8 程度で問題ないと言う記事もあります。

コストをどれくらい高く設定すべきかについて、公式の基準はありますか?

私はjBCryptライブラリを使用して、ユーザーが私のアプリを使用して登録するときにユーザーパスワードをハッシュします。

私は次のように、基本的なハッシュ関数をソルトとともに使用しています。

登録時に1〜2分のハングに気づき、デバッガーをチェックして、BCryptが原因であることを確認しました。

パスワードのソルトは本当にそれだけの処理能力を必要としますか？もしそうなら、それをハッシュするためにプレーンテキストのパスワードをサーバーに送信するのが良い代替案でしょうか？この問題に関する私の当初の考えは、どこにでも送信される前にハッシュすることでした。何か案は？

最近、バンドラーで問題が発生し始めました。バンドル インストールまたは sudo バンドル インストールを実行すると、bcrypt-ruby がインストールされず、次のエラーで終了します。

ただし、gem install bcrypt-ruby -v '2.1.4'問題なく実行されます (実際、このボックスでは既に実行されています)。手動で実行/usr/bin/ruby1.8 extconf.rbすると問題なく動作し、結果の Makefile も make で問題なく実行されます。

Ubuntu 10.04.1 LTS で Ruby 1.8.7 とバンドラー 1.0.21 を使用しています。他の gem はバンドラーを介して正常に動作しているようです。当たり前かもしれませんが、ruby-devやgccなどのパッケージがインストールされていることを確認しました。--deployment オプションをバンドラーで使用してみましたが、動作に違いはありません。最近変更されたと私が考えることができる唯一のことは、数日前にバンドルの更新を行ったことです。そのため、バンドルはマイナー バージョンの変更 (1.0.10 -> 1.0.21) を取得し、bcrypt はメジ​​ャー バージョンの変更 (2.1) を取得したようです。 .4 -> 3.0.1)。

どんな助けでも大歓迎です！

Heroku で gmail を動作させようとしており、http://blog.heroku.com/archives/2009/11/9/tech_sending_email_with_gmail/の「チュートリアル」に従いました。

私がやったとき、install git://github.com/adamwiggins/gmail_smtp.git物事は台無しになりました。

インストールが機能せず、次のエラー メッセージが表示されました。

Installing bcrypt-ruby (3.0.1) with native extensions /Users/user/.rvm/rubies/ruby-1.9.2-p290/lib/ruby/site_ruby/1.9.1/rubygems/installer.rb:551:in `rescue in block in build_extensions': ERROR: Failed to build gem native extension. (Gem::Installer::ExtensionBuildError)

Gem files will remain installed in /Users/user/Dropbox/work/project/git:/github.com/adamwiggins/gmail_smtp.git/ruby/1.9.1/gems/bcrypt-ruby-3.0.1 for inspection. Results logged to /Users/user/Dropbox/work/project/git:/github.com/adamwiggins/gmail_smtp.git/ruby/1.9.1/gems/bcrypt-ruby-3.0.1/ext/mri/gem_make.out

だから今はどうしようもない。

私がやりたいのは、すべてをアンインストールすることですが、その方法がわからず、考えられる方法で bcrypt-ruby をインストールできませんでした (考えるのに十分な経験があるわけではありません)。その多くの）。

git で rm -rf を試してみました。インストールに関する情報がそこにあることを願っていますが、それも役に立ちませんでした。

「install git://」の後の情報がどこに保存されているか、またはそれを削除/アンインストールする方法、またはその他の方法で進歩を遂げるために、誰かが私に教えてくれませんか。私は公式に立ち往生しています..

乾杯カール

BCrypt を使用してパスワードをハッシュします。ログイン クエリで、パスワードを確認します。

var kier = (b.Login == model.Użytkownik && BCryptHelper.CheckPassword(model.Hasło, b.Haslo) && b.konto == "kierownik" select b).Any(); の b から b.Any();

コンパイル中にエラーが発生しました:

メソッド 'Boolean CheckPassword(System.String, System.String)' には、サポートされている SQL への変換がありません。

この問題を解決するにはどうすればよいですか?