問題タブ [password-hash]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
1 に答える
252 参照

php - OSX で PHP フグを有効にする

最近、開発マシンとして OS X 10.7 に移行し、MAMP Pro 2.0.5 を実行しています。私たちが使用している暗号化ライブラリはデフォルトでblowfishを使用していますが、このプラットフォーム構成では利用できないようです. 既存のデータはすべてフグを使用して暗号化されているため、現在は処理できません。

私はMAMPのマニュアルを検索しましたが、それへの参照は見つかりませんでした。私が見つけた他のすべては、mcryptが利用可能かどうかに関連していますが、暗号化アルゴリズムには関連していません.

どうすればフグを有効にできますか、またはコンセプトに何かが欠けていますか? 残念ながら、PHP < 5.3 向けに開発しているため、ネイティブ サポートは利用できません。

0 投票する
2 に答える
10537 参照

ubuntu - 塩漬けのsha512ハッシュを理解してクラッキングする

Ubuntu 12.04で、私はいくつかのユーザーとパスワードを作成し、すぐにジョン・ザ・リッパーでそれらのパスワードを解読しようとしました。1つのパスワードは非常に強力ですが、他のパスワードは私のワードリストに含まれています。

ジョンはまだ走っていますが、私はこれまでに約20分で2つひびが入っています。

私が読んだものはすべて、塩が知られているかどうかについて話します。このハッシュを例にとってみましょう。

塩は:

、 右?つまり、それは常に知られているのではありませんか?だから、塩は本当に何もしませんが、レインボーテーブルの使用を防ぎますよね?

また、この投稿があります:

塩漬けのSHA-512ハッシュをブルートフォースするのにどれくらいの時間がかかりますか?(塩提供)

それによると、パスワードがワードリストに含まれていない限り、sha512は本質的にまったく解読できません。その投稿は約1年前ですが、誰か新しい洞察がありますか?ハッシュのクラッキングに関する優れたリソースを見つけるのは難しいと感じています。そこにあるすべての情報は、ハッシュの生成とパスワードの保護に関するものです。

0 投票する
2 に答える
12687 参照

java - Oracle11gでDBMS_CRYPTOパスワードハッシュを選択します

現在、を使用してOracleデータベースのパスワードフィールドをハッシュしていますDBMS_CRYPTO.HASH。ただし、この時点で、MySQLと同様の方法で、Javaアプリケーションがユーザー入力時にパスワードを認証できるようにする必要があります。何かのようなもの:

現在、次の手順でハッシュしています。

次に、次の手順を実行して、テーブルに挿入します。

私の状況でこれを達成するためのより良い方法はありますか?重要な場合は、Oracle11gを使用しています。

0 投票する
1 に答える
258 参照

php - crypt()関数が適切なハッシュを提供しない

これこれを使用してパスワードハッシュスクリプトを作成しました。暗号化関数がハッシュを「*0」として提供する場合を除いて、正しく機能するようになっていますが、失敗します。

PHPコード

上記を使用して、私は次のように値を取得しています

それを正しく機能させるための可能な方法を見て、提案してください。

ありがとう。

0 投票する
1 に答える
68 参照

security - グローバルサイトソルト、それは価値がありますか?

私はユーザーデータベースを作成していて、セキュリティについて考えていました。それは私に考えさせられました。すべての人にユニークユーザーソルトを設定する場合、サイトソルトを使用することは本当に価値があります。

vs

私の考えでは、サイトがハッキングされた場合、ハッカーはとにかくグローバルソルトにアクセスできるようになります。

0 投票する
4 に答える
614 参照

java - ハッシュメカニズムは本当に安全ですか?

データベースにパスワードを保存するためにハッシュメカニズムを使用するように言っている (そしてフォローしている) 人をいつも見てきました。私は本当に心配していますそれは安全ですか?

例を見てみましょう。

私がハッカーで、あなたのデータベース名、ID、パスワードを入手したとしましょう。これで、あなたのデータベースに完全にアクセスできます。

誰かがハッキングした場合、ハッカーに見られるため、パスワードはハッシュ化する必要があると言われています。

したがって、次のようにクエリを実行するとselect id, password FROM userDetails、次のようにデータが取得されます

オプション 1: ハッシュなし

オプション 2 : ハッシュあり

まあ、それでも私は言いますが、ハッシュは安全ではありません。以下でJavaコードを使用して説明する理由。

このようにして、ユーザー名とパスワードを印刷できます。(パスワードが見つからなくなるまで、ランダムなパスワードを生成する必要があることはわかっています)。ただし、この方法では、パスワードのハッシュ メカニズムも失敗します。

また、この世界には、ハッシュデータを実際のデータに変換するデクリプターが存在すると思います。

したがって、私は考えています

ハッシュメカニズムは安全ですか?


編集 1

私はMD5だけについて話しているのではありません。MD5 を選択したのは、例としてのみです。安全なパスワードのメカニズムについて話している

0 投票する
10 に答える
5390 参照

c# - ソルトハッシュを検証する

私はC#を初めて使用しますが、これがここでの最初の質問です。そのため、偽物について事前に謝罪します。

コンテクスト:

ユーザーが登録したら、CreateSaltedHash()メソッドを呼び出し、ユーザーが入力したパスワードをテキストフィールドから渡します。このメソッドは、パスワードをユーザーテーブルの[パスワード]列に保存する前に、パスワードをソルトおよびハッシュします。

質問:

ユーザーがログインしようとしたときにパスワードを検証するにはどうすればよいですか?

CreateSaltedHash()メソッドを再度呼び出すと、ランダムなソルトのために一致しません。

塩を別のカラムに保管する必要がありますか?ソルトハッシュを生成するときに区切り文字を使用する必要がありますか?ソルトおよびハッシュされたパスワードに対して入力パスワードを検証する最も安全な方法は何ですか?

コード: これは私がこれまでに持っているものです。


Registerクラスのメソッドを呼び出します。

0 投票する
7 に答える
68477 参照

node.js - パスワードのNode.jsハッシュ

私は現在、パスワードのハッシュに次のものを使用しています。

プロジェクトをより安全にするための改善策を提案していただけますか?

0 投票する
0 に答える
656 参照

c#-4.0 - C#でハッシュパスワードを取得するには?

パスワードを取得/リセット/パスワードを忘れた場合の適切な方法は何ですか?

Rfc2898DeriveBytes クラスで Password Based Key Derivation Function 2 (PBKDF2) を使用しました。

では、ハッシュパスワードをリセットする方法は何ですか。

0 投票する
1 に答える
1119 参照

php - PHP の password_hash はどのようにソルトを生成しますか?

こんにちは、ご存じかもしれませんが、PHP は最近password_hash、最新バージョンのビルトインを導入しました。ドキュメントには次のように記載されています。

省略した場合、ランダムなソルトが作成され、デフォルトのコストが使用されます。

問題は、塩を加えるためにどのような方法を使用するかです。

ソルトがランダムに作成され、ハッシュ化されたパスワードを保存するときに常に一意になるかどうかを知りたいので、興味があります。