パスワードを認証して検証するにはどうすればよいですか？

Question

私は本当にここで質問することさえ知りません。私の問題の声明は簡単です：私は塩でDBにパスワードを格納し、保存されたパスワードに対して入力されたパスワードを検証し、ユーザーがログオンしようとするたびにランダムなチャレンジワードを使用してパスワードを認証する必要があります。私はPHP/javascriptを使用しています。

これを理解しようとすると、私はHTMLフォームで挑戦単語を渡し、入力したパスワードをその単語でハッシュしても、サーバー上のパスワードを認証できますが、チャレンジワードとパスワードを分けることができないので、私はDBの塩漬けパスワードに対してそれを検証することができます。パスワードをサーバーに送ってチャレンジワードなしでハッシュした場合、私はそれを検証することができますが、今は信頼性の高い認証ができません。

私はキーで暗号化し、パスワードを検証しながらキーを認証できるように、ある種の2ウェイアルゴリズムが必要だと思います。どうすればいいのですか？それができないのであれば、私は何をやっていますか？

Answer 1

1. パスワードを保存するには、ランダムな塩を生成します。店舗HASH(password+salt)およびsalt。

2. 認証を実行するには、サーバはsaltとHASH(password+salt)を検索します。次に、ランダムなチャレンジを生成し、そのチャレンジとチャレンジをクライアントに送信します。

3. クライアントで、パスワードの入力を求めるメッセージが表示されます。計算：
   HASH(HASH(password+salt) + challenge)。それをサーバーに送信します。

4. サーバーには、すでにHASH(password+salt)があり、challengeがあります。したがって、
   HASH(HASH(password+salt) + challenge)も計算できます。これをクライアントがあなたに送ったものと比較してください。一致した場合、パスワードは正しいです。これはMITM攻撃に対して脆弱であり、それ自体がこのようなSSL接続として、MITMから保護された接続上で使用されるべきであることを

注意。

Answer 2

クライアント側のスクリプトでパスワードを暗号化することは、一般的には悪い考えです。これを行う適切な方法は、SSLを使用することです。

また、決してパスワードを平文で保存します。 の場合はのように上記の方法を使用する必要があります。パスワードを2回ハッシュします.1回はデータベースに格納し、もう1回は双方向認証にします。