質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Unicode

Unicodeはエンコーディングの標準規格です。1つの文字コード体系で多国語の表現を可能にすることを目指して作られています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

Q&A

解決済

3回答

2275閲覧

パスワードにUnicodeを利用するのはあり?

isisisimylife

総合スコア42

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Unicode

Unicodeはエンコーディングの標準規格です。1つの文字コード体系で多国語の表現を可能にすることを目指して作られています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

パスワード

パスワードは主に情報にアクセスする際に扱われます。主に、アクセス可能なユーザーを限定する手段として使われます。

1グッド

5クリップ

投稿2021/03/28 09:42

はじめに

アカウント登録機能を実装しています。
パスワードをDBに保存する際に、疑問が生じたので質問させてください。

疑問

パスワードにUnicodeを許しているアプリケーションを見かけないのですが(私が知らないだけの可能性はありますが)、パスワードにUnicodeを使うと問題があるのでしょうか?
今現在の実装では、受け取ったパスワードはSHA-256でハッシュ化してDBに保存しています。

Y.H.👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

パスワードに関する基準として世界的に権威のあるドキュメントとしてNIST SP 800-63Bがあります(日本語訳URL)が、その中では以下のように記載されています。

すべての印字可能なASCII [RFC 20] 文字(スペースも同様)は記憶シークレットとして許容されるべきである(SHOULD).Unicode[ISO/ISC 10646]文字も同様に許容されるべきである(SHOULD).Verifierは,8文字以上であることの検証を行う前に,タイピングミスの類を考慮して連続した複数のスペースまたは全てのスペースを除去してもよい(MAY).シークレットの切り詰めについては実施しないものとする(SHALL NOT).前述の記憶シークレットの長さ要件を満たすために,それぞれのUnicodeの符号位置は一文字としてカウントされるものとする(SHALL).

すなわち、Unicode文字も許容すべきとなっています。また、Unicodeを許可する場合は、正規化も要求されています。

もしUnicode文字が記憶シークレットとして許容されるならば,Verifierは,Unicode Standard Annex 15 [UAX 15] の Section 12.1で定義されている”Stablized Strings”のためのNFKCまたはNFKD正規化のいずれかを用いた正規化処理を適用すべきである(SHOULD).この処理は記憶シークレットのバイト文字表現のハッシュ化の前に適用される.

NFKCまたはNFKD正規化について検索等で調べていただきたいのですが、例えば以下のような変換になります。

ガ → ガ
㌠ → サンチーム
神 → 神

面倒くさそうですが、JavaやPHPなどは正規化の機能を提供しているので、それらを呼び出すだけです。例えば、PHPならば以下のように書けます(NFKCの場合)。

$out = normalizer_normalize($in, Normalizer::FORM_KC);

ということで、現在はパスワードとしてUnicode文字を許容するサイトは少ないようですが、今後は増えるのではないでしょうか。
ところで、パスワードの保存方法は以下では足りないと思います。

今現在の実装では、受け取ったパスワードはSHA-256でハッシュ化してDBに保存しています。

単純にSHA-256でハッシュを取るのでは不十分で、ソルトやストレッチングという手法を用いることと、SHA-256のような汎用ハッシュ関数ではなく、パスワード保存に適した特性のある関数を用いるべきです。PHPの場合では、password_hash()という関数(マニュアル)を使うと、上記をすべておまかせすることができます。
パスワード保護の概要について以前動画を作成しましたので紹介します。

超入門:ウェブサイトのパスワード保護~ウェブサイトでパスワードを保護する方法~ - YouTube

投稿2021/03/29 06:47

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2021/03/29 08:02

ユーザ入力をそのまま使用しないこと(正規化)が推奨ってのは少し気持ち悪いものがありますね^^;
ockeghem

2021/03/29 09:29

そうですね。「気持ち悪さ」には同意しますが、一貫して正規化されていれば実質的な問題はないと思います。
guest

0

Unicodeというより、漢字等を許すかどうかですか?

多分、どうやって入力するかを考えると問題は明確になると思います。
漢字を直接入力する方法は無い(少なくとも一般的ではない)と思います。
そこに問題があると思います。

投稿2021/03/28 09:56

pepperleaf

総合スコア6383

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

マルチバイト文字を使うと、SJIS, Unicode, EUC等の扱いが必要になることが多いです。 サポート・センターの負担が大きくなって無駄な費用がかかりますから、パスワードにマルチバイト文字を使う事自体止めた方がいいです。

投稿2021/03/28 10:27

Orlofsky

総合スコア16415

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問