0
私はデータベースを作成しており、ユーザーパスワードを保存する必要があります。私はすでにクライアント側でパスワードをハッシュするためにbcryptを使用していますが、クライアント側でハッシュするだけで、ハッシュはデータベースに関する限り基本的にパスワードと同等になります。私はデータベースに格納される前にパスワードをハッシュしたいと思います。 SHA2(pwd)のようなMySQL固有のメソッドを使用する必要がありますか、またはサーバー上でbcryptを使用する方法がありますか?MySQL-サーバー側のパスワードハッシングを実装する方法
私はMITM攻撃からの保護のための良い習慣であると読んだので、私はクライアント上でハッシュしています。しかし、私の実際の質問はまさにあなたが言っていることです。サーバー側でbcryptを実装するにはどうすればよいですか?私は可能な限りSHA2を避けたいと思います。 – silvertiger
私はあなたがそれをどこで読んでいるのか、それとも正しく読んでいるのか分かりません。私がクライアントサイドのハッシュを見たのは、チャレンジ・レスポンス・タイプのシステムであり、SSL/TLSがそれを無意味にしてしまったため、そのほとんどが死んでしまった。チャネル自体を保護することができる。 Hash * once *、正しく、あなたは大丈夫でしょう。 bcrypt、scrypt、または他のパスワード特有のハッシュアルゴリズム、特に調節可能な難易度のアルゴリズムは、ここで重要です。 – tadman
MySQLはbcryptを実行することはできません。通常は、アプリケーション層にパスワードをハッシュする場合があります。それはJava、Python、Ruby、Node.js、PHPでもかまいません。事実上すべての人がbcryptを実装しています。 MySQLは、多くのRDBMsesと同様、単なるデータストアです。 – tadman