Q&A
###前提・実現したいこと
パスワードの保管の暗号化。
###発生している問題・エラーメッセージ
String encryption(String password) でストレッチングなどを含め暗号化出来るとしましょう。
DBのファイルが何者かによって盗まれました。
そんなときに暗号化した意味があるのだと思うのですが、これはencryptionメソッドの中身が見れてしまうとequalsで一発な気がするんですが
例:
dbから入手したパス.equals(encryption("予測するパス"))
何度ストレッチングしてもSaltをかけてもそれはencryptionメソッドの内容が分からないってこと前提ですよね。
流石にDB盗まれるくらいならソースコードも読めるんじゃないかと思うのですが(個人の見解)そこら辺はどうなんですかね
また、どのような暗号化方法がセキュリティに良いでしょうか。
回答2件
0
ベストアンサー
ご指摘の通り、予測したパスワードが正しいかどうかは、一発で分かります。
なので、以下の両方により、正しいパスワードに行き当たるまでの「時間稼ぎ」をするわけです。「絶対に分からない」ことを目指すものではありません。
- パスワードそのものを予測困難なようにできるだけ長く複雑なものにする
- ストレッチングにより、パスワードの正誤判定に「時間が掛かる」ようにする
投稿2017/11/24 10:08
総合スコア11701
0
それはencryptionメソッドの内容が分からないってこと前提ですよね
ここが違います。encryptionメソッドの内容が分かっても大丈夫です。というより、encryptionメソッドの内容が分かっていて多くの人によって検証されているほうがむしろ安全です。
また、どのような暗号化方法がセキュリティに良いでしょうか。
多くの人によって検証されている暗号化方法がよいでしょう。 http://www.cryptrec.go.jp/list.html とか。
投稿2017/11/24 10:12
総合スコア2493
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/11/24 13:06