Q&A
回答ありがとうございます。
やはり、よりハッシュが長いやつの方がセキュリティ上はよいのでしょうか?
計算のスピードが遅くなって、総あたり攻撃対策になったりするのでしょうか?
アプリ開発でログイン機能とユーザの新規登録機能を開発しています。
その際パスワードをハッシュ化したいのですが、今現在で安全性の高いハッシュ化はどれですか?
ビット数が大きければ良いのでしょうか?
また、その際のコードの書き方なども教えていただけますでしょうか。
お願い致します。
回答4件
0
ハッシュのアルゴリズムはどうすべきかという質問に対する直接の答えではなくて何ですが、パスワードを保護するため何を考えるべきかについて参考になりそうな記事を紹介します。
本当は怖いパスワードの話
http://www.atmarkit.co.jp/ait/articles/1110/06/news154.html
安全性の高いアルゴリズムでハッシュすればそれで OK という訳ではなさそうです。
攻撃者によってすべての情報が盗まれても元のパスワードが保護できるかを考えるべきで、そのためには、ユーザー側で安全なパスワードを設定してもらうこと(password、abcdef、qwerty、123456 などというのは論外)、サイト側で「ソルト+ハッシュ+ストレッチング」という対策を取ることがベストプラクティスだそうです。
質問者さんが求めている答と違って参考にならなかったらすみません。
投稿2018/04/03 14:30
退会済みユーザー
総合スコア0
0
コードの書き方などを考慮すると、環境的に手軽に扱えてかつ安全性の高いものと言うことになるので、標準的な SHA-2 になるでしょうか。
標準的なのは SHA-256 ですが、最近ではよりハッシュが長い SHA-512 なども使われます。
※SHA-1 は徐々に使用を縮小しています
投稿2018/04/02 03:41
総合スコア13703
0
ベストアンサー
その際パスワードをハッシュ化したいのですが、今現在で安全性の高いハッシュ化はどれですか?
Argon2です。Visual Studio 2012タグが気になりますが、NuGetでライブラリを探してくださいな。
プログラム内部でパスワードを保持するときはSecureStringを使用するのをお勧め致します。
◇参考情報
Secure Password Storage in C# (.NET) 英語 C#のサンプルコードがあります
全部丸投げにならないように、質問する時は調査したこと(キーワードなど)や制約事項を質問文に記載してくださいな。
投稿2018/04/02 02:59
編集2018/04/02 03:05
総合スコア5846
回答ありがとうございます。
質問の仕方気を付けます。
一先ず自分が試したのは、MD5でハッシュ化させた後、16進数に置き換えるというものがあったので使っていたのですが、MD5に脆弱性があることを知らず、上司に注意をされました。
また、ハッシュ化以外にもソルトやストレッチングという方法があると知り、他にも何か方法がないかと思い、この度質問した次第です。
>287yさんへ
ソルトやストレッチングも考慮しつつ、GPUクラッキング攻撃に対する耐性も備えているのが回答文で提案したArgon2です。それよりも劣りますが、bcryptとPBKDF2 というのがあります。
何度もすいません…、Argon2をプロジェクトに追加してみたのですが、使い方がいまいちわかりません。
検索しても英語しかでず…
日本語で書かれたサイトとかってないでしょうか?
日本語のサイトはあまり無い気がします。bcryptならサイトはあるよーな。
ありがとうございます。
参考にします!
0
「パスワード ハッシュ」でぐぐるといろいろ解説が出てきます。これでどうでしょうか
投稿2018/04/02 01:46
総合スコア87749
そのキーワードだと、なんちゃって自作ハッシュが沢山ヒットするので、Argon2やbcryptの具体的なキーワードのほうがノイズが少なめになると思います。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/04/17 09:05
退会済みユーザー
2018/04/17 14:31
2018/04/19 03:18