Qtコンピューティングとパスワードハッシュの比較

Question

現在、Qtでクイズプログラム用のWeb認証認証サービスを構築しています。

ユーザのパスワードをデータベースに保存するときは、間違っている場合に備えて、パスワードを隠しておく必要があります。

一般的な方法は、パスワードにSaltを追加し、その組み合わせの計算されたハッシュを保存するプロセスと思われます。

このハッシュは、後で比較することができます。

HASHを（ユーザ入力+ SALT）= StoredHash

QtはQCryptographicHash ::ハッシュ（データ、アルゴリズム方法）を提供しますが、キーはおそらくランダムであると私は見ていませんこれがどのように役立つか。

また、QMessageAuthenticationCode :: hash（メッセージ、キー、アルゴリズムメソッド）は、メッセージがuserpasswordでkeyがpseudo_random（row_id）であると考えています。

私はSha2-256を使用すると考えています。AlgorithimにはCryptographically secure pseudorandom number generatorが必要ですか？

Answer 1

Qtライブラリコンポーネントは実際に暗号化には適していません。

libSodiums implementation of Argonプラグインはきれいで、比較的新しいですがowaspなどが良いことを言っています。

.PRO

QMAKE_CXXFLAGS += -lsodium 
QMAKE_LFLAGS += -lsodium 

一つ必要があり、まだenforceまたはgenerate強力なパスワード。

Answer 2

パスワードのハッシングによく使用されるアルゴリズムは、現在bcryptです。あなたは虹のテーブルの攻撃から保護するために、述べたように

1. 塩、単純なC++の実装here

   があり

   パスワードをハッシュするための2つの重要な事があります。塩は各ユーザーごとに異なるはずです。

2. パスワードを数千回ハッシュして総当たり攻撃を大幅に遅くする反復ハッシング。

bcryptは、これらの両方を実装しています。