1
私は、そのパスワードをプレーンテキストやハッシュのパスワードで保存しなくても、ユーザーの認証方法を知りたいと思っています。ハッシュのないパスワードを安全に保存するには?
どうすればよいですか?
ユーザーキーが暗号化できる制御文字列を保持し、それを格納した暗号化文字列と比較するのは安全ですか?
A
答えて
1
毎のNIST(アメリカ国立標準技術研究所):
、ハッシュ関数を使用しておよそ100msの期間中にランダム塩でHMACを反復処理し、ハッシュと塩を保存します。 PBKDF2,password_hash,Bcryptなどの機能を使用してください。要点は、攻撃者が無差別にパスワードを見つけるのに多くの時間を費やすことです。
参照:NIST SP 800-63-3ドラフト文書「デジタル認証ガイドライン」
ドに基づいジム・フェントン 情報によって「より良いパスワードの要件に向けて」のプレゼンテーションから抜粋How to store your users’ passwords safely
:
Require an 8 character min, >64 max with no truncation or 6 random digits
Use a dictionary to disallow common passwords against a dictionary list of 10M compromised passwords
Allow all printing characters (Unicode optional) + spaces but MAY canonicalize spaces out
Best to accept Unicode, including emojis (1 “character”/code point)
Limit failed authentication attempts to 100 in 30-day period per account
Offer option to display the secret while typing rather than dots or asterisks
Storing passwords:
Hash with 32-bit random salt using key derivation function such as
PBKDF2 with SHA-1, SHA-2 family, SHA-3 family
with at least 10,000 iterations
ドン」 T:
Require composition rules
Allow hints
Require routine password expiration
Save plain or hashed versions with or without seeding
参照:ジム・フェントンによってToward Better Password Requirements。
1
あなたがしなければならないことについてのZaphの回答を参照してください。役に立つと思うように、少しだけ背景を追加します。
暗号化された形式でパスワードを保存することは、適切に行われたパスワードハッシュを保存することより安全性が低くなります。これは、暗号鍵が正しい鍵で暗号化されていないように設計されているためであり、暗号アルゴリズムはブルートフォース攻撃に対する防御の1つとして遅くなることに必ずしも依存しないからです。
しかし、適切に行われたパスワードハッシュアルゴリズムは、ハッシュからパスワードを取得できないように設計されています。パスワードハッシングアルゴリズムの設計では、ハッシュの速度を使用しますすべての可能なパスワードを無差別にハッシュしてパスワードを見つけてください。
関連する問題
- 1. ログインとパスワードのハッシュをセッションに安全に保存していますか?
- 2. PHPコードの中にパスワードを安全に保存するには?
- 3. サーバーにパスワードを保存するのには安全です
- 4. greasemonkeyで安全にパスワードを保存するには?
- 5. Webアプリケーションのメールサーバーにパスワードを安全に保存する方法
- 6. ユーザー名/パスワード(ローカル)を安全に保存する方法は?
- 7. パスワードをデータベースに保存する前に安全にハッシュする方法はありますか?
- 8. 安全にanglejsにパスワードを保存する方法
- 9. 安全にローカルにパスワードを保存する
- 10. 安全にAndroid KeyStoreのパスワードを保存する方法
- 11. Golang/App Engine - ユーザーのパスワードを安全にハッシュする
- 12. ウェブアプリケーションのソースコードにパスワードを保存するのは安全ですか?
- 13. Paypal Proのパスワードを安全に保存する方法は何ですか? (PHP)
- 14. app.configファイルはパスワードを保存するための安全な場所ですか?
- 15. 安全なパスワードにSHAパスワードを使用
- 16. アクセストークンを安全に保存する
- 17. 安全にキーストリング値を保存する
- 18. サーバーアプリケーションでハッシュできないパスワードを保存する
- 19. 安全な文字列をAndroidに保存する方法は?
- 20. MySQLデータベースにPHPオブジェクトを保存する安全な方法は?
- 21. PHP:情報をクッキーに保存する安全な方法は?
- 22. パスワードをハッシュしてデータベーステーブルに保存する方法は?
- 23. textField.textを安全にアンラップしてプロパティに安全に保存する方法
- 24. パスワードを安全に迅速に保存するにはどうすればよいですか?
- 25. wifiパスワードを安全に保つにはどうすればいいですか?
- 26. パスワードを安全にURLエンコード
- 27. 安全にiOSにプライベートファイルを保存するには
- 28. AndroidのSDカード動画に安全に保存するには?
- 29. フラッシュ共有オブジェクト(Cookie) - 安全にパスワードを保存できますか?
- 30. properties.settingsファイルにパスワードを安全に保存する最も良い方法は何ですか?
"パスワードをプレーンテキストまたはハッシュで保存する必要はありません" - なぜですか? – mayersdesign
セキュリティ上の理由 – jm8FE
ハッシュの仕組みはどうですか? –