問題タブ [bcrypt]

これは、bcrypt がロードされていないというエラーです。Rails アプリは認証に Devise を使用しておらず、gem bcrypt は Gemfile にありません。場合によっては、Web サーバーが spawn サーバーを開始できないというエラーをスローします。gem list は、bcrypt-ruby 3.0.1 と 3.0.0 の両方がインストールされていることを示しています。

cap deploy:check の戻り値:

問題について何か考えはありますか？ありがとう！

私はPasswordEncoderInterface：を実装する独自のパスワードエンコーダーを作成しました。

エンコーダーはIDでサービスとして登録されbcrypt.password.encoderます。しかし、symfonyにそれを使用するように指示する方法はわかりません。現在、app/config/security.yml次のようになっています。

ところで、私は教義の実体を使用していません。

編集：Symfony\Component\Security\Core\User\Userは私のUserObjectです。私は少し変更しましsecurity.ymlた：

致命的なエラーが発生します。

それは私には意味がありません。

Python（pymongo）とbcryptを使用して、mongodbのログインメソッドを実装しようとしています。問題は、ハッシュを比較しようとすると発生します。ハッシュは常に異なります：$。

これは私のテストコードです（まず、パスワードをハッシュしたユーザーをmongodbに入れます）：

pythons scryptの使用：

それをdbに入れたら、魔法を作ろうとしています：D：

しかし、ハッシュ値を見ると問題が発生します。

以前に生成したものとはまったく異なります!!! 。また、bcrypt.gensalt（12）を保存する必要がないことを読んでいます。だから私は少し混乱しています。

読んでくれてありがとう、認証の私の実装の何が悪いのかについて何か助けはありますか？

posdata（より多くのコード）：

そして、はい、私はデータベースが私に正しいフィールドを与えていると確信しています。

bcryptのメカニズムは次のとおりです。

認証に使いたいです。問題は、クライアントから作成したいので、クライアントにソルト部分が必要なことです。

gensalt(username)ユーザー名からソルトを生成する独自のソルトを使用する場合、クライアントが他のユーザーとは異なる同じソルトを常に使用するのは良いことだと思いました。

それはbcryptと私のプロジェクトの良い近似ですか、それともbcryptメカニズムのセキュリティを破っていますか？

誰かがパスワードを復号化したい場合、ユーザーごとに1つ使用する必要があるため、レインボーテーブルを使用することはできないと思います。私はセキュリティの問題について十分な経験がなく、それが良いかどうかを知ることができません。たぶん、hashpwPCでブルートフォースを行うのに十分な速さです。

新しい grails プロジェクトに登録機能を追加しました。テストのために、メールアドレスとパスワードを入力して登録しました。データベースに保存する前に、パスワードをハッシュするために bcrypt アルゴリズムを使用しています。

ただし、登録時に指定したのと同じメールアドレスとパスワードでログインしようとすると、ログインに失敗します。私はアプリケーションをデバッグし、データベースから既にハッシュされたものと比較しようとすると、同じパスワードに対して生成されたハッシュが異なることがわかりました。 .groovy は null を返します)。

これが私のドメインクラスRegistration.groovyです:

ここに私の LoginController.groovy があります:

これは私の Config.groovy からのスニペットで、bcrypt アルゴリズムを使用してパスワードとキーイングのラウンド数をハッシュするように grails に指示しています。

ここで提供されるガイドラインに従って、 「 remember me 」機能を実装しようとしています：フォームベースのWebサイト認証の決定的なガイド、およびここ： http: //fishbowl.pastiche.org/2004/01/19/persistent_login_cookie_best_practice/

「Cookieトークン」はDBに保存するときにハッシュ化する必要があるようです（攻撃者がDBにアクセスできる場合、ハッシュ化されていないトークンはプレーンなログイン/パスワードのように見え、Webサイトにログインできます）。

良いハッシュアルゴリズムを探して、bcryptを使用してこの推奨されるテクニックを見つけました：https ：//stackoverflow.com/a/6337021/488666

私はそれを試してみましたが、提案されたラウンド数（15）では、処理時間が非常に遅くなることがわかりました（Intel Core 2 Duo E8500 + 4 GB RAMで2,3秒をハッシュ+検証2,3秒）

ハッシュアルゴリズムは攻撃者を妨げるために比較的遅いはずですが、そのレベルでは、ユーザーがWebサイトを使用するのを妨げます:)

より少ないラウンド（たとえば、処理時間を10ms + 10msに短縮する7）で十分だと思いますか？

私は現在、Web アプリケーションでのパスワード処理を unsalted MD5 から bcrypt に変更中です。これは、Glassfish 3.0.1 で実行される標準の JSF アプリケーションです。
jBCrypt を使用すると、ハッシュの作成と保存が非常に簡単になりました。しかし、ユーザーがログインするときの実際の認証で bcrypt を使用する方法がわかりません。JSF であるため、ログインは HttpServletRequest#login メソッドを使用してトリガーされ、残りは Java EE スタックと Glassfish によって処理されます。

セキュリティ レルム ダイジェスト アルゴリズムを「なし」に設定し、ログイン メソッドに渡す前にパスワードをハッシュするだけでは機能しません。また、カスタム セキュリティ レルムの実装を提供することも検討しましたが、このような小さな変更には多くの作業が必要なようです。

もっと簡単な解決策はありますか？または、誰かがすでに同様のセキュリティ レルムを実装していますか?

この回答を参照しています: https://stackoverflow.com/a/4766811/1114105

パスワードを再ハッシュしますが、実際にはハッシュに対して何も行いません (CheckPassword 関数で POST 送信された平文のパスワードを使用して認証します)。ハッカーは再ハッシュ部分をバイパスできませんか?

これが私の擬似コードです。

パスワード/ユーザー名が POST によって送信され、$row['password'] が sql のハッシュされた pword である場合。

注: CheckPassword の実行にかかる時間は、ワーク ファクターによって違いは生じないことがわかりました。HashPassword の時間が増えるだけです。

パスワードをハッシュするには (一方向)、bcrypt が最適のようです。

jBCryptを使い始めようとしていますが、いくつか心配があります。

• メーリングリストはありません。
• 全体的に非常に低い活動。
• バグ トラッカーには 1 つの問題しかありませんでした。この 1 つの問題には活動の兆候はありません。
• これまでにリリースされたバージョンは 3 つだけです。
• jBCrypt は、スレッドセーフであると主張していません。ほとんどの人はソース コードがスレッドセーフに見えることに同意しているように見えますが、公式 Web サイトに明確な記述がある方がはるかに優れています。

誰もが使用していて、どういうわけか見逃した、より主流の同様のライブラリはありますか? (Java、オープン ソース)
それとも、実際に「最も主流」のものですか?

2行目でエラーが発生しました。

何をすべきか？毎回ランダムソルトではなく、デフォルトのソルト値を設定する必要があります。