質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.99%

パスワードのハッシュ化

解決済

回答 4

投稿

  • 評価
  • クリップ 0
  • VIEW 1,427

287y

score 22

アプリ開発でログイン機能とユーザの新規登録機能を開発しています。
その際パスワードをハッシュ化したいのですが、今現在で安全性の高いハッシュ化はどれですか?
ビット数が大きければ良いのでしょうか?
また、その際のコードの書き方なども教えていただけますでしょうか。
お願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • 退会済みユーザー

    2018/04/02 10:49

    複数のユーザーから「やってほしいことだけを記載した丸投げの質問」という意見がありました
    「質問を編集する」ボタンから編集を行い、調査したこと・試したことを記入していただくと、回答が得られやすくなります。

回答 4

checkベストアンサー

+2

その際パスワードをハッシュ化したいのですが、今現在で安全性の高いハッシュ化はどれですか?

Argon2です。Visual Studio 2012タグが気になりますが、NuGetでライブラリを探してくださいな。

プログラム内部でパスワードを保持するときはSecureStringを使用するのをお勧め致します。

◇参考情報
Secure Password Storage in C# (.NET) 英語 C#のサンプルコードがあります

全部丸投げにならないように、質問する時は調査したこと(キーワードなど)や制約事項を質問文に記載してくださいな。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/04/19 15:44

    何度もすいません…、Argon2をプロジェクトに追加してみたのですが、使い方がいまいちわかりません。
    検索しても英語しかでず…
    日本語で書かれたサイトとかってないでしょうか?

    キャンセル

  • 2018/04/19 15:51

    日本語のサイトはあまり無い気がします。bcryptならサイトはあるよーな。

    キャンセル

  • 2018/04/20 17:53

    ありがとうございます。
    参考にします!

    キャンセル

+2

コードの書き方などを考慮すると、環境的に手軽に扱えてかつ安全性の高いものと言うことになるので、標準的な SHA-2 になるでしょうか。
標準的なのは SHA-256 ですが、最近ではよりハッシュが長い SHA-512 なども使われます。

※SHA-1 は徐々に使用を縮小しています

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/04/17 18:07

    回答ありがとうございます。
    やはり、よりハッシュが長いやつの方がセキュリティ上はよいのでしょうか?
    計算のスピードが遅くなって、総あたり攻撃対策になったりするのでしょうか?

    キャンセル

+2

ハッシュのアルゴリズムはどうすべきかという質問に対する直接の答えではなくて何ですが、パスワードを保護するため何を考えるべきかについて参考になりそうな記事を紹介します。

本当は怖いパスワードの話
http://www.atmarkit.co.jp/ait/articles/1110/06/news154.html

安全性の高いアルゴリズムでハッシュすればそれで OK という訳ではなさそうです。

攻撃者によってすべての情報が盗まれても元のパスワードが保護できるかを考えるべきで、そのためには、ユーザー側で安全なパスワードを設定してもらうこと(password、abcdef、qwerty、123456 などというのは論外)、サイト側で「ソルトハッシュストレッチング」という対策を取ることがベストプラクティスだそうです。

質問者さんが求めている答と違って参考にならなかったらすみません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/04/17 18:05

    回答ありがとうございます。
    参考記事読ませて頂きました。
    「ソルト+ハッシュ+ストレッチング」で一度テストしてみようかと思います。
    一つ質問なのですが、ストレッチングとは”意図的にハッシュ計算の処理速度を遅くすること”であっていますか?
    これって例えばログイン情報を間違えた時に、3秒間ほど操作をできなくするというのもストレッチングになるでしょうか?

    キャンセル

  • 2018/04/17 23:31

    ずいぶん遅いレスですね。完全に忘れてました。それはともかく・・・

    ストレッチングは "意図的にハッシュ計算の処理速度を遅くすること" ではありません。紹介した記事を読んでいただければ分かると思います。

    オフライン攻撃とオンライン攻撃との違いは知っていると思いますが、「ソルト+ハッシュ+ストレッチング」は前者への対応、何度かログインに失敗するとある期間(3 秒は短すぎ)ログインできないようにロックするのは後者への対応です。

    キャンセル

  • 2018/04/19 12:18

    レス遅れてしまい申し訳ありません。
    理解できました、ありがとうございます。

    キャンセル

-1

「パスワード ハッシュ」でぐぐるといろいろ解説が出てきます。これでどうでしょうか

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/04/02 12:02

    そのキーワードだと、なんちゃって自作ハッシュが沢山ヒットするので、Argon2やbcryptの具体的なキーワードのほうがノイズが少なめになると思います。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.99%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる