問題タブ [saltedhash]

私はソルトとパスワードハッシュに関するいくつかの記事を読んでいて、数人の人々がレインボー攻撃について言及していました。レインボーアタックとは正確には何ですか？それを防ぐための最良の方法は何ですか？

わかりました、塩を使用する理由を理解しようとしています。

ユーザーが登録すると、DB に保存する一意のソルトを生成します。次に、それとパスワードを SHA1 でハッシュします。そして、彼/彼女がログインしているとき、私はそれを で再ハッシュしsha1($salt.$password)ます。

しかし、誰かが私のデータベースをハッキングすると、ハッシュ化されたパスワードとソルトを見ることができます。

塩を使わずにパスワードをハッシュするよりもクラックするのは難しいですか? わかりません…</p>

私が愚かでしたらごめんなさい…</p>

私は Adam Griffiths の Authentication Library for CodeIgniter を使用しており、ユーザーモデルを微調整しています。

彼がトークンを生成するために使用する生成関数に出くわしました。

彼が好むアプローチは、random.org の値を参照することですが、私はそれは不必要だと考えました。私は 20 文字の長さの文字列をランダムに生成する彼のフォールバック アプローチを使用しています。

次に、ソルトを使用してこのトークンをハッシュします (さまざまな関数のコードを組み合わせています)。

塩漬けハッシュを介してトークンを実行する理由があるかどうか疑問に思っていましたか?

文字列を単にランダムに生成するのは、ランダムなパスワードを作成するための単純な方法であると読みましたが、sh1 ハッシュとソルトは必要ですか?

注: https://www.grc.com/passwords.htm (63 個のランダムな英数字)から暗号化キーを取得しました。

私はhashlibのドキュメントを調べてきましたが、データをハッシュするときにsaltを使用することについて話しているものは何も見つかりませんでした。

ヘルプは素晴らしいでしょう。

私はMichaelHartlの本を読んでいます（素晴らしい、無料のリソース、ところで、Michaelに感謝します！）。パスワードのソルトとハッシュについて質問があります。パスワードをソルトするポイントは、ハッカーがレインボー攻撃を実行しないようにすることです。これは、ハッカーが使用されている暗号化の種類を推測できる場合、基本的にブルートフォース攻撃です。この種の攻撃を防ぐために、暗号化される前にパスワードをランダム化するためにソルトが使用されますが、そのソルトは暗号化されたパスワードと一緒に保存する必要がありますか？もしそうなら、ハッカーがデータベースにアクセスして暗号化されたパスワードを取得できる場合、ハッカーはソルトを取得してレインボー攻撃を続行することもできませんか？

これがMichaelのプロセスのコード例です...

本当にありがとう！

パスワードを忘れた場合のページを実装する必要がありますが、パスワードがソルトされてハッシュ化されています。そのため、従来の方法では取得できません。私の考えは次のことをすることでした：

• ユーザーが[パスワードを忘れた場合]リンクをクリックすると、当然、自分の電子メールアドレス（ユーザー名でもある）を入力する必要があります。

• 彼らのパスワードは、私が作成したハッシュとソルトのパスワードにリセットされます。次に、新しいパスワードを入力できる新しいページへのリンクを含むメールを送信します。

• リンクには、認証のみを目的とした新しいハッシュおよびソルトパスワード（$ _GET変数として）が含まれています。

• リンクから$_GET変数を取得し、DBのエントリに対して認証し、新しいパスワードをハッシュしてソルトし、dbに挿入します。

これはどれくらい安全ですか？スパマーやブルートフォース攻撃者の標的になりにくいサイトの場合。

前もって感謝します。

ソルト（MD5）ハッシュを実行できるプログラムを作成したいと思っています。システムへの影響を減らし、速度を上げるために、GPUを介して計算を実行したいと思います。だから私はいくつか質問があります：
1）JavaはGPU処理をネイティブでサポートしていますか？
2）JavaはソルトMD5ハッシュをネイティブでサポートしていますか？
3）すでにこれを行っているオープンソースプログラムを知っている人はいますか？
4）他に役立つと思うことはありますか？
関連するドキュメントへのリンクだけでも、一部またはすべての質問への回答をいただければ幸いです。
ありがとう。

helper関数ライブラリを更新しています。saltパスワードの暗号化が多すぎるのではないかと思っています。

次の間に違いはありますか：

そして簡単に：

AY_HASHですsalt。どちらを優先すべきで、どちらも良くない場合、最良の代替手段は何ですか?

個々の注文に対して 4 桁の確認コードを生成する必要があるシナリオがあります。ほぼ同時に2つの正確なコードが生成される可能性が低いため、ランダムコードだけを実行したくありません。各注文の ID を使用して、そこから 4 桁のコードを生成する方法はありますか? 最終的にこれで繰り返しコードを作成することになることはわかっていますが、ほぼ同時に生成されるわけではないので問題ありません。

最近、PureFTPサーバーのセットアップ作業を開始しました。職場ではPostgresql8.4を使用しています。スキーマは基本的に次のようになります。

はのpasswordハッシュとして保存されsha1( password + salt )ます。Postgresqlのpgcryptoを使用して、を提供しusername、passwordユーザーが認証を持っているかどうかを確認できます。

今私が抱えている問題は、そのような関数では、クエリにパスワードを取得する必要があるということです。これは、Pureftpの現在のauth-postgresqlの実装では不可能のようです。以下の提供のみをサポートします。

これを行う別の方法はありますか？クエリにパスワードを入力するか、ソルトとパスワードを取得して、Pureftpでコードを記述する別の方法を見つける必要があります。

明らかに、カスタム認証モジュールを作成する別のオプションがありますが、この基本的なソルティングはpgモジュールでサポートされると思います。

参考文献

• PureFTPdのPostgresql-authdocs
• Postgresql8.4のpgcrypto