問題タブ [password-hash]

レインボーテーブルの導入以来、データベースに保存されたパスワードにハッシュパスワード（例：MD5）のみを使用することは、最も安全な方法ではありません。

人々が塩漬けのハッシュについて話すときは、常にこのようにhash(password . salt)、あるいはそれを使用してhash(hash(password) . salt)ください。

ソルトを使用する理由がわかりません。また、ソルトを保存するためにパスワードごとにエントリを追加しますか？なぜhash(hash(password))、あるいは単に使用しないのhash(hash(hash(password)))ですか？

塩を入れる方が安全ですか？それとももっと複雑な感覚ですか？

暗号化されたパスワードをMySQLデータベースに挿入する必要があるアプリケーションを実装しています。次に、ColdFusionでmd5暗号化を使用して、データベースから復号化されたパスワードを取得します。

MySQLデータベースを使用してColdFusionでmd5暗号化を使用するにはどうすればよいですか？

SQLServerで問題が発生しました。私の仕事は、PHPを使用して単純なSQLServerベースのユーザーシステムを実現することです。データベースはMMORPGでも使用されるため、データベース構造を変更したり、スキーマをハッシュしたりすることは許可されていません。私の問題の本当の原因は、パスワードが次のアルゴリズムによってハッシュされていることです

パスワードハッシュ「0x7CEE495091E11FF9560D3D0165133322000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000」に準拠するtest123およびpwhallo123というテストユーザーを作成しました。

この時点まで、すべてが明確である必要があります。でも、クエリでデータを取得しようとすると、結果が得られません。私はこのクエリを実行しました：

結果は返されません。しかし、このクエリを直接実行すると

問題なくデータを取得できます

私は今これに約8時間取り組んでいますが、問題を理解することはできません。

だから、私はデビッド・ヘイデンが彼のブログ（http://davidhayden.com/blog/dave/archive/2004/02/16/157.aspx）に投稿したアプローチで、ソルトを作成し、ユーザーのパスワードを取得してユーザーのパスワードをハッシュします生のパスワードと生成されたソルト、およびSHA1を使用して値をハッシュします。

次に、ソルトとハッシュ化されたパスワードをデータベースに保存します。

Webサイトは現在負荷分散されているため、結果のハッシュ値が両方のサーバーで同じになるかどうか疑問に思いました。

DavidHaydenのブログに投稿されたコードのスニペットは次のとおりです。

私が尋ねる理由は、このコードがコードスニペットを使用しているためです。

JBoss 6 と postgresql を使用しています。パスワードは、postgresql の MD5() 関数を使用してデータベースに入力されています。

hashAlgorithm モジュール オプションを設定せずにログインすると問題なく動作しますが、hashAlgorithm を MD5 に設定するとすぐに次のエラーが発生します。

Login failure: javax.security.auth.login.FailedLoginException: Password Incorrect/Password Required

hashEncoding に base64、hex、rfc2617 を試しました。ignorePasswordCase を true に設定しようとしましたが、エラーは一貫しています。何か案は？前もって感謝します！

認証ライブラリで bcrypt のサポートを許可したいと考えています。現在の問題の 1 つは、ハッシュのタイプがHashAlgorithm. Bcrypt.net はこのクラスを実装していません。また、封印されているため、自分でブランチを作成して自分で変更する必要があります。HashAlgorithm を既に実装しているより良い代替手段はありますか?

各ユーザーのランダムなソルト値を保存するとします。ユーザーパスワードが変更されたときに新しいソルト値を生成する必要がありますか?それとも、そのユーザーアカウントの存続期間全体で同じ値を使用する必要がありますか?

パスワードハッシュ関数を書き直しています。

現在sha1を使用しています。

sha512の使用を考えています。

sha512 が sha2 だと思うのは正しいですか?

これは現在、パスワードをハッシュするための標準ですか、それとも別のハッシュアルゴリズムを使用する必要がありますか?

セキュリティを向上させるために MD5 でユーザーのパスワードを複数回暗号化する人を見ました。これが機能するかどうかはわかりませんが、見栄えがよくありません。それで、それは理にかなっていますか？

現在のプロジェクトで Code Igniter を使用しています。

現在、私はパスワードのハッシュにMD5を使用していますが、多くの場所で、MD5 を使用することはお勧めできません。

何を持って行けばいいですか？

1. 塩を使う
2. または、bcryptを使用する必要があります

また、bcryptが推奨されている場合、Code Igniter でそれを使用するにはどうすればよいですか?

編集

これらのファイルを入れましたapplication/libraries

1. PasswordHash.php
2. c/メイクファイル
3. c/crypt_private.c

私のコントローラーでは、このコードを使用しています-

これらのエラーが発生しています -

アップデート

を削除し、 SimpleLoginSecurePasswordHash.phpを使用しています。