問題タブ [password-storage]

Javaで特定のパスワードからハッシュを作成し、それをMySQLデータベースに保存しています。データベースにソルトを保存することについてはよく読んだことがありますが、ここに記載しないことを選択した理由がいくつかあります。各ユーザーに固有のランダム ソルトをハッカーから完全に隠す方法はないようです。ホストされたデータベースとダウンロード可能なソフトウェアがあることを隠す方法もありません。このソフトウェアは社内でのみ使用されるため、ユーザー数は最大 20 人であり、ハッカーはソフトウェアよりもデータベース ポートに出くわす可能性がはるかに高くなります。少なくとも、ソルトをデータベースに保存するのではなく、ソフトウェアで生成することにより、ソルト/ハッシュ方式を逆コンパイルして決定するソフトウェアを見つける必要があります。

私が使用している方法は次のとおりです。

編集： これをここに置くための大統領

ランダムなソルトを生成する必要があることがわかりました。これで保存できます。

私が働いている会社の安全なパスワード リポジトリを作成したいと考えています。ユーザーがさまざまなシステムのユーザー名とパスワードを保存できるシステム。彼らがしなければならないことは、このシステムに 1 回ログインするだけで、テーブルでユーザー名とパスワードを表示できるようになることです。

ユーザーのログインを検証するには、高品質のハッシュとランダムなソルトを使用する必要があることを理解しています。ただし、ユーザーがシステムにログインしたら、このシステムに入力したサイト/システムのユーザー名とパスワードを表示できるようにしたいと考えています。これまでのところ、パスワードの保存に関する私のすべての調査では、ユーザーが正しいパスワードを入力する必要があります。これにより、ハッシュとソルトに対してパスワードがチェックされ、合格または不合格になります。これまでのところ、実際に正しいパスワードをハッシュに渡さずにパスワードを保存および取得する方法はわかりません。

ユーザー名とパスワードのリストを安全に表示する方法はありますか? このようなことを行うために既に設計されているサンプル コードまたはライブラリは、非常に高く評価されます。

アプリが Facebook 経由で正常にログインすると、資格情報の保存が開始されます。SmartLock で保存するかどうかをユーザーに確認する必要がありますが、自動的に保存されます。

保存コールバック内で、解決せずに成功します。成功してはならず、ユーザーに保存を促す解決策を含める必要があります。

これがなぜなのか、または私が望む機能を得る方法はありますか?

-ありがとうございました

原因：

私はテーブルを持っており、列はすべて適切Collatedにutf8mb4_unicode_ci、

...などのパスワード ハッシュ (から生成password_hash)を格納する列を含めます$2y$14$tFpExwd2TXm43Bd20P4nkMbL1XKxwF.VCpL.FXeVRaUO3FFxGJ4Di。

しかし、列の大文字と小文字が区別されないため、のハッシュでもアクセスが許可されることがわかりました$2y$14$tFpExwd2tXm43Bd20P4NKmbL1XKxwF.VCpL.FxEVRaUO3FFxGJ4DI。

これは、大文字と小文字を区別しない方法でデータを格納することにより、潜在的に数百の衝突が発生する可能性があることを意味します。良くない。

問題：

さて、比較を行うときに、 MySQL に列を大文字と小文字pass_wordを区別する列として扱うよう強制する方法はありますか。PHP/SQL クエリが発生するたびに編集する必要はなく、代わりにデータベース テーブル列をデフォルトで大文字と小文字を区別して比較するように設定するだけです。

utf8mb4文字セットにはオプションがありません。_cs唯一の非_ciオプションはutf8mb4_bin.

とても簡単な質問:

• MySQLのUTF8mb4_bin文字セットと照合は、標準比較を大文字と小文字を区別して処理しますか? [はい]
• UTF8mb4_bin私がやりたいことをスーツに投与します。別のセットを使用する必要がありますか? その場合、その理由は?
• password_hash出力を MySQLutf8mb4_bin列に保存する際に問題はありますか?
• このアプローチは、各ログイン クエリのクエリ SQL を編集する必要性を便利に回避しますか? 列のタイプを変更して次に進むことはできますか?

編集

nj_ で詳しく説明されているように、pass_wordログイン時に の値が直接編集されることはないため、これはまったく問題にならないばかげた問題です。 ... 長い 1 日でした。

AI のようなチャットボットを作成しようとしていますが、その機能の 1 つにログインがあります。以前にログイン コードを使用したことがあり、問題なく動作しましたが、パスワードのハッシュを処理するコードで問題が発生しています。コードは次のとおりです。

そして、ここに私が得ている結果があります:

使用する必要があると思われるエンコーディング (latin-1) を調べたところ、必要な構文が見つかりました。それを追加しても、同じ結果が得られます。

別のユーザー (対話モード) としてプロセスを実行する必要がある C# サービスがあります。そのユーザーは管理者レベルのユーザーであり、コードにパスワードを文字列として保存してはならないことを知っています。

私が行ったすべての調査は、私がやりたいことにすべてが適合していないように見える多くの方法を指しているように見えるので、私を正しい方向に向ける助けを借りることができます.

ハッシュ化された PW を構成ファイルに保存する必要はありますか? ハッシュ化された PW をコードに保存し、誰かがそれを安全な文字列に渡すことはできますか? ここで少し道に迷ったので、いくつかのガイダンスが必要です。