問題タブ [password-hash]

最近、開発マシンとして OS X 10.7 に移行し、MAMP Pro 2.0.5 を実行しています。私たちが使用している暗号化ライブラリはデフォルトでblowfishを使用していますが、このプラットフォーム構成では利用できないようです. 既存のデータはすべてフグを使用して暗号化されているため、現在は処理できません。

私はMAMPのマニュアルを検索しましたが、それへの参照は見つかりませんでした。私が見つけた他のすべては、mcryptが利用可能かどうかに関連していますが、暗号化アルゴリズムには関連していません.

どうすればフグを有効にできますか、またはコンセプトに何かが欠けていますか? 残念ながら、PHP < 5.3 向けに開発しているため、ネイティブ サポートは利用できません。

Ubuntu 12.04で、私はいくつかのユーザーとパスワードを作成し、すぐにジョン・ザ・リッパーでそれらのパスワードを解読しようとしました。1つのパスワードは非常に強力ですが、他のパスワードは私のワードリストに含まれています。

ジョンはまだ走っていますが、私はこれまでに約20分で2つひびが入っています。

私が読んだものはすべて、塩が知られているかどうかについて話します。このハッシュを例にとってみましょう。

塩は：

、 右？つまり、それは常に知られているのではありませんか？だから、塩は本当に何もしませんが、レインボーテーブルの使用を防ぎますよね？

また、この投稿があります：

塩漬けのSHA-512ハッシュをブルートフォースするのにどれくらいの時間がかかりますか？（塩提供）

それによると、パスワードがワードリストに含まれていない限り、sha512は本質的にまったく解読できません。その投稿は約1年前ですが、誰か新しい洞察がありますか？ハッシュのクラッキングに関する優れたリソースを見つけるのは難しいと感じています。そこにあるすべての情報は、ハッシュの生成とパスワードの保護に関するものです。

現在、を使用してOracleデータベースのパスワードフィールドをハッシュしていますDBMS_CRYPTO.HASH。ただし、この時点で、MySQLと同様の方法で、Javaアプリケーションがユーザー入力時にパスワードを認証できるようにする必要があります。何かのようなもの：

現在、次の手順でハッシュしています。

次に、次の手順を実行して、テーブルに挿入します。

私の状況でこれを達成するためのより良い方法はありますか？重要な場合は、Oracle11gを使用しています。

これとこれを使用してパスワードハッシュスクリプトを作成しました。暗号化関数がハッシュを「*0」として提供する場合を除いて、正しく機能するようになっていますが、失敗します。

PHPコード

上記を使用して、私は次のように値を取得しています

それを正しく機能させるための可能な方法を見て、提案してください。

ありがとう。

私はユーザーデータベースを作成していて、セキュリティについて考えていました。それは私に考えさせられました。すべての人にユニークユーザーソルトを設定する場合、サイトソルトを使用することは本当に価値があります。

vs

私の考えでは、サイトがハッキングされた場合、ハッカーはとにかくグローバルソルトにアクセスできるようになります。

データベースにパスワードを保存するためにハッシュメカニズムを使用するように言っている (そしてフォローしている) 人をいつも見てきました。私は本当に心配していますそれは安全ですか？

例を見てみましょう。

私がハッカーで、あなたのデータベース名、ID、パスワードを入手したとしましょう。これで、あなたのデータベースに完全にアクセスできます。

誰かがハッキングした場合、ハッカーに見られるため、パスワードはハッシュ化する必要があると言われています。

したがって、次のようにクエリを実行するとselect id, password FROM userDetails、次のようにデータが取得されます

オプション 1: ハッシュなし

オプション 2 : ハッシュあり

まあ、それでも私は言いますが、ハッシュは安全ではありません。以下でJavaコードを使用して説明する理由。

このようにして、ユーザー名とパスワードを印刷できます。（パスワードが見つからなくなるまで、ランダムなパスワードを生成する必要があることはわかっています）。ただし、この方法では、パスワードのハッシュ メカニズムも失敗します。

また、この世界には、ハッシュデータを実際のデータに変換するデクリプターが存在すると思います。

したがって、私は考えています

ハッシュメカニズムは安全ですか?

編集 1

私はMD5だけについて話しているのではありません。MD5 を選択したのは、例としてのみです。安全なパスワードのメカニズムについて話している

私はC＃を初めて使用しますが、これがここでの最初の質問です。そのため、偽物について事前に謝罪します。

コンテクスト：

ユーザーが登録したら、CreateSaltedHash（）メソッドを呼び出し、ユーザーが入力したパスワードをテキストフィールドから渡します。このメソッドは、パスワードをユーザーテーブルの[パスワード]列に保存する前に、パスワードをソルトおよびハッシュします。

質問：

ユーザーがログインしようとしたときにパスワードを検証するにはどうすればよいですか？

CreateSaltedHash（）メソッドを再度呼び出すと、ランダムなソルトのために一致しません。

塩を別のカラムに保管する必要がありますか？ソルトハッシュを生成するときに区切り文字を使用する必要がありますか？ソルトおよびハッシュされたパスワードに対して入力パスワードを検証する最も安全な方法は何ですか？

コード： これは私がこれまでに持っているものです。

Registerクラスのメソッドを呼び出します。

私は現在、パスワードのハッシュに次のものを使用しています。

プロジェクトをより安全にするための改善策を提案していただけますか？

パスワードを取得/リセット/パスワードを忘れた場合の適切な方法は何ですか?

Rfc2898DeriveBytes クラスで Password Based Key Derivation Function 2 (PBKDF2) を使用しました。

では、ハッシュパスワードをリセットする方法は何ですか。

こんにちは、ご存じかもしれませんが、PHP は最近password_hash、最新バージョンのビルトインを導入しました。ドキュメントには次のように記載されています。

省略した場合、ランダムなソルトが作成され、デフォルトのコストが使用されます。

問題は、塩を加えるためにどのような方法を使用するかです。

ソルトがランダムに作成され、ハッシュ化されたパスワードを保存するときに常に一意になるかどうかを知りたいので、興味があります。