問題タブ [password-hash]

保存する前にパスワードを 2 回ハッシュすることは、1 回ハッシュすることよりも多かれ少なかれ安全ですか?

私が話しているのは、これを行うことです：

これだけの代わりに：

安全性が低い場合は、適切な説明 (またはリンク) を提供できますか?

また、使用するハッシュ関数によって違いはありますか? 同じハッシュ関数を繰り返す代わりに、(たとえば) md5 と sha1 を混ぜても違いはありますか?

注 1: 「ダブル ハッシュ」と言うときは、パスワードをよりわかりにくくするために、パスワードを 2 回ハッシュすることを指しています。衝突を解決するテクニックについて話しているのではありません。

注 2: 本当に安全にするには、ランダムなソルトを追加する必要があることはわかっています。問題は、同じアルゴリズムで 2 回ハッシュすることがハッシュに役立つか、それとも損なわれるかです。

イントラネットサイトにいくつかの変更/更新を実装するように依頼されました。彼らがそれを呼ぶように、それを「将来の保証」にします。

パスワードはMD5アルゴリズムを使用してハッシュされていることがわかりました。（システムは2001年から存在しているので、当時は適切でした）。
ここで、ハッシュアルゴリズムをより強力なもの（BCrypt-hashまたはSHA-256）にアップグレードしたいと思います。

私たちは明らかに平文のパスワードを知らず、ユーザーベースの新しいパスワードを作成することはオプションではありません^*）。

だから、私の質問は：

プレーンテキストのパスワードにアクセスせずにハッシュアルゴリズムを変更するために受け入れられている方法は何ですか？
最善の解決策は、完全に「舞台裏」にある解決策です。

_{*）試してみました。彼らを説得しようとした、「パスワード年齢」の議論を使用した、コーヒーで賄賂を試みた、ケーキで賄賂を試みた、など。しかし、それはオプションではありません。}

更新
私は問題を解決するためのある種の自動魔法の解決策を望んでいましたが、どうやら「ユーザーがログインするのを待ってから変換する」以外の選択肢はないようです。

まあ、少なくとも今は他に利用できる解決策はありません。

これはプレーンなMD5よりどれくらい安全ですか? パスワードのセキュリティについて調べ始めたところです。私はPHPにかなり慣れていません。

私はslicehost（2つの異なるホスティング会社）のサーバーにあるphpスクリプトからdreamhostのmysqlサーバーに接続しようとしています。これを行う必要があるのは、slicehostで新しいデータをdreamhostに転送できるようにするためです。テーブル構造が異なり、データの小さなサブセット（1日あたり100〜200レコード）を転送するだけでよいため、ダンプを使用することはできません。問題は、slicehostとdreamhostで新しいMySQLパスワードハッシュメソッドを使用していることです。古いものを使用しているので、

事実：

• 私はslicehostで新しいメソッドを使い続ける必要があり、古いphpバージョン/ライブラリを使用できません
• データベースが大きすぎて、ダンプを使用して毎日転送することはできません
• 私がこれをしたとしても、テーブルは異なる構造を持っています
• 毎日、その一部だけをコピーする必要があります（その日の変更のみ、100〜200レコード）
• テーブルが非常に異なるため、データを正規化するためのブリッジとしてphpを使用する必要があります
• すでにググった
• すでに両方のサポートスタッフと話し合った

私にとってより明白なオプションは、dreamhostで新しいMySQLパスワードハッシュメソッドの使用を開始することですが、それらはそれを変更せず、私はルートではないため、これを自分で行うことはできません。

ワイルドなアイデアはありますか？

VolkerKの暗示による：

明らかなことは、mysql> SET GLOBAL old_passwords=0を実行することです。しかし、私はそれを行うためにSUPER特権が必要であり、彼らは私にそれを与えません

クエリを実行すると

エラーが発生します

私はルートではありません...

dreamhostサポートの人は、問題は私の終わりにあると主張しています。しかし、彼はそれがプライベートサーバーなので、私が彼に言うどんなクエリも実行すると言った。だから、私はこの男に正確に何を実行するかを伝える必要があります。だから、彼に走るように言った

良いスタートになりますか？

多くの人が知っているように、一方向暗号化はデータベース内のユーザーパスワードを暗号化するための便利な方法です。そうすれば、データベースの管理者でさえユーザーのパスワードを知ることはできませんが、パスワードを推測し、同じアルゴリズムでそれを暗号化してから、結果をデータベース内の暗号化されたパスワードと比較する必要があります。これは、パスワードを把握するプロセスには、大量の推測と多くの処理能力が必要であることを意味します。

コンピューターがどんどん速くなり、数学者がまだこれらのアルゴリズムを開発しているのを見て、現代の計算能力と暗号化技術を考えると、どれが最も安全か疑問に思います。

私はMD5をほぼ独占的に何年も使用していますが、もっとやるべきことがあるかどうか疑問に思っています。別のアルゴリズムを検討する必要がありますか？

別の関連する質問：このような暗号化されたパスワードのフィールドは通常どのくらいの長さである必要がありますか？私は暗号化について事実上何も知らないことを認めなければなりませんが、MD5ハッシュ（例として）はもっと長くなる可能性があり、おそらくクラックするためにより多くの処理能力を必要とするだろうと思います。または、暗号化されたパスワードが最初にフィールドに収まる場合、フィールドの長さはまったく問題になりませんか？

Joomlaのカスタム登録コンポーネントを作成しようとしていますが、joomlaの正しいパスワード暗号化を作成する方法を誰かが知っているかどうか疑問に思っていました。Joomlaのパスワードは次のようになります：

fbae378704687625a410223a61c66eb1：VM6DwmVWHTwpquDq51ZXjWWADCIc93MR

md5（または何か）と一方向の暗号化はどれだと思いますか？同じ暗号化を作成するためのある種のphpコードを探しています。

乾杯

誰かが塩漬けがどのように機能するかを理解するのを手伝ってくれませんか？

これまでのところ、私は次のことを理解しています。

1. パスワードを検証する
2. ランダムな文字列を生成します
3. パスワードとランダムな文字列をハッシュして連結し、パスワードフィールドに保存します...

ソルトを保存するにはどうすればよいですか、またはユーザーがログインしたときにソルトが何であるかを知るにはどうすればよいですか？独自のフィールドに保存しますか？そうでない場合、アプリケーションはどのようにして塩が何であるかを把握しますか？そして、それを保管するのであれば、それは目的全体を打ち負かしませんか？

Drupal 6 データベースに約 100 人のユーザー (ユーザー名、メール、パスワード ハッシュ) を挿入するスクリプトを作成したいと考えています。

Drupal 6 が使用する PHP クラスについて読んだ後、これを実行できるかどうかわかりません。私の方法は、「Hello, x! Your new password is y」のようなメールをすべてのユーザーに送信し、ハッシュ化された「y」を Drupal のユーザー テーブルに挿入することでした。

Drupal が md5 を返すことは知っています。しかし、それは単に md5 の元のパスワードではなく、(salt やその他の方法を使用して) 非常に混同されたパスワードです。

Drupal が使用しているポータブル PHP パスワード ハッシュ フレームワークを調べましたが、コピーと貼り付けの方法だけでは機能しないと思います。

だから、私の質問は: 有効な Drupal 6 パスワード ハッシュを返し、それをユーザー テーブルに挿入する PHP 関数を作成できますか?

私は実際の環境に適用されるシステムに取り組んでいます。システムの高度なセキュリティ メカニズムを作成する必要があります。その 1 つは、データベース内のユーザーのパスワードの暗号化です。

私は双方向の暗号化よりも一方向の暗号化方法を使用することを好みます。問題は、パフォーマンスが高く、他のアルゴリズムではなく 1 つのアルゴリズムを選択する理由をパートナーに納得させる合理的な理由がある優れたアルゴリズムを選択したいということです。

そのためのコツを教えてください。

重複の可能性:
クライアント側のパスワードハッシュシステムについて

Web サイトのユーザーのパスワードを保護する必要があります。私がしたことは、サーバー側でMD5暗号化ハッシュを使用することでした。しかし問題は、パスワードがサーバーに到着するまでプレーン テキストのままであることです。つまり、パスワードは、トラフィック モニタリングを使用して取得できます。だから私が望むのは、クライアント側のパスワード暗号化/ハッシュメカニズムを使用して、暗号化/ハッシュ化されたパスワードを送信することです。誰でもこれを行う方法を教えてもらえますか?