ログインフォームにて入力されたパスワードをデータベースのハッシュ化された値と照合する場合について

PHPの学習で簡易サイトのログインフォームを作成しているのですが、お聞きしたいことがございます。

php
1<?php
2 session_start();//セッション開始
3 if(isset($_SESSION['id'])){
4   header('Location:index.php');
5
6 }else if(isset($_POST['name']) && isset($_POAT['password'])){
7   //ログインしていないが、ユーザ名とパスワードが送信された時
8   //データベース接続
9   $dsn = 'mysql:host=localhost;dbname=tennis;charset=utf8';
10   $user = 'root';
11   $password = '';
12
13   try{
14     $dbh = new PDO($dsn,$user,$password);
15     $dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
16     $dbh->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
17     $stmt = $dbh->prepare("
18      SELECT * FROM users WHERE name = :name AND password=:pass
19      ");
20      $stmt->bindValue(':name',$name,PDO::PARAM_STR);
21      $stmt->bindValue(':pass',sha1($_POST['password'],PDO::PARAM_STR));
22      $stmt->execute();
23      if($row = $stmt->fetch()){
24        $_SESSION['id'] = $row['id'];
25        header('Location: index.php');
26        exit();
27      }
28
29   }catch(PDOEception $e){
30     die('エラー:' . $e->getMessage());
31   }
32
33 }else{
34
35?>
36
37<html>
38  <head>
39    <meta charset="utf-8">
40    <title>テニスサークル交流サイト</title>  
41  </head>
42  <body>
43  <h1>テニスサークル交流サイト</h1>
44  <h2>ログイン</h2>
45  <form action="login.php" method="post">
46    <p>ユーザ名:<input type="text" name="name"></p>
47    <p>パスワード:<input type="password" name="password"></p>
48    <p><input type="submit" value="ログイン"></p>
49  </form>
50  </body>
51</html>
52
53<?php } ?>

上記コードはアクセスした際に、セッションを保持していない場合、ユーザーIDとパスワードをデータベースで照合し、データベースに存在していれば、index.phpへ、そうでなければ、ログインフォーム画面を表示するコードとなっております。
以下はデータベースにて、照合を行うテーブルの画像になります。

テストデータとして、3人のデータをコマンドプロンプトより、追加しました。
3人のデータを追加した際のsqlが以下になります。

sql
1MariaDB [online_bbs]> INSERT INTO users (name,password) VALUES
2    -> ('yamada',sha1('yamadapass')),
3    -> ('tanaka',sha1('tanakapass')),
4    -> ('kikuchi',sha1('kikuchipass'));
5

パスワードをテーブルに追加する際は「sha1」関数を通しています。
分からない部分といいますのは、「$stmt->bindValue(':pass',sha1($_POST['password'],PDO::PARAM_STR));」ここの部分なのですが、パスワードをテーブルよりSELECTして持ってくる際に、POSTされたパスワードを暗号化し、最終的には、暗号化されたパスワードがSELECTされるかどうかを判別しています。しかし、入力されたパスワードをハッシュ化した値が、誰が入力しても同じになってしまった場合、暗号化する意味がないように思えます。
データベースに登録する際ユーザのパスワードを暗号化するのは理解できるのですが、データベースと照合する場合に関しては、そもそもハッシュ化する値が、データベースに登録した際の値と毎回同じになってしまっていたら、暗号化の意味もないような気がしてしまいます。
上記の点につきまして、どなたかご解説頂けましたら幸いです。よろしくお願いします。

otn

2019/02/26 12:41

> 誰が入力しても同じになってしまった場合とは？ Aさんと、Bさんが、同じパスワードを登録したらということですか？

newyee

2019/02/26 13:07 編集

はい。暗号化する値が毎回同じでは、暗号化する意味はなんなのかなと思ったんですよね...

newyee

2019/02/26 13:11

すみません。僕自身混乱してしまっているかもしれないです...

newyee

2019/02/26 13:13

よくよく考えてみたら、ハッシュ化されていよういまいと、パスワードがばれてしまった時点で意味ないですよね... 何かちょっと勘違いしてしまっていたかもしれません...

otn

2019/02/26 13:14

おなじパスワードを使った場合がありえることが、どうして、「暗号化する意味はなんなのかなと」につながるのでしょうか？

newyee

2019/02/26 13:19

勘違いしてしまっていました... 実は、パスワードをハッシュ化した値が、毎回同じ値になっていたら、何故ハッシュ化する意味ってあるのかなと、変な所でひっかかってしまい、混乱してしまっていました... 逆に、ハッシュ化した値が毎回違ってたら、データベースに登録してあるデータとの照合が不可能になりますよね...

行動規範の内容に同意します

回答2件

ベストアンサー

仮にDBの設定をミスってしまって外部からDBにアクセス出来た場合でも、ログインパスワード(平文)はわからないのでログインは出来ず、システムを不正に利用される危険性が低くなるというものです。
個人的には単純なHashでは弱いパスワードを使っている場合にBFAへの対抗力が低いため、saltをつけてHash化することをおすすめします。

投稿2019/02/26 12:41

kunai

総合スコア5405

退会済みユーザー

2019/02/26 12:49

salt はレインボー対策かと。bfa 対策はストレッチングじゃないですかね？

newyee

2019/02/26 13:17

ご回答ありがとうございます。よくよく考えてみたのですが、入力されたパスワードが、ハッシュ化され、毎回違う値に変換されていたら、データベースと照合のしようがないですよね... 少し、混乱して勘違いしてしまっていました... ハッシュ化する理由としましては、データベースの内容が外部に漏れてしまった場合を考慮してのことなんですね...

行動規範の内容に同意します

パスワードのハッシュ化はおおよそ DB のデータ流出に対して保険的に実施されます。*パスワードリスト攻撃の素材にされることを懸念してのお作法です。

そのため、誰が入力しているのかは意識しない設計になっています。

余談1
誰が入力しているかを意識する設計はマルチファクタ認証と呼ばれる別の仕組みで実現します。

余談2
暗号化すべきデータに関して以前質問したことがあります。
面白い回答を多数頂いたので紹介します。
参考：暗号化すべき情報とは？

余談3
hash 値を取るために使用しているアルゴリズムが古いです。（現在、パスワードハッシュのアルゴリズムとしては非推奨になっています）
php であれば、password_hash() を利用するのがシンプルで適切です。その時点の適切なアルゴリズム,salt,ストレッチングを適切に使用してくれます。検証には password_verify() を使用するので、select の内容も変わります。

雑談
decode できない方法を暗号化と呼ぶのは、あまり適切ではないです。

投稿2019/02/26 13:21

編集2019/02/26 13:42

退会済みユーザー

総合スコア0