.htpasswdのパスワードがランダムなのは何故？

###前提・実現したいこと
Apacheを使っていて、ベーシック認証をするときに.htpasswdを作成します。
調べると、
このファイルの中身はユーザー名とパスワードをコロンで区切って、
パスワードはBASE64でエンコードしたものを書き込むようです。
ユーザー名: user001 パスワード: aaa の場合
user01:tiJBC0Bwy93no

###聞きたいこと
パスワードが一意ではなく、
複数パターンあるのは何故ですか？

http://www.htaccesseditor.com/#a_basic
こちらのサイトで「.htpasswdを作成ボタン」
を押すと何度も新しいパスワードが作られます。

https://www.base64encode.org/
こちらのサイトでBASE64 encodeしても一意のものしか出てきません。

MD5やSHA-1とは違いハッシュ関数でないのは分かるのですが、
同じBASE64なのに規格が違うといったことがあるのでしょうか？

行動規範の内容に同意します

回答1件

ベストアンサー

man htpasswdすれば分かりますが、.htpasswdで使われるパスワードのハッシュ化には複数の種類があります。「平文でBase64エンコードする」という種類は無さそうです。

user01:tiJBC0Bwy93no

はデフォルトのcrypt関数を使ったものでしょう。先頭2文字がsaltで、これを使ったハッシュです。

投稿2017/02/28 15:35

otn

総合スコア86295

aglkjggg

2017/02/28 15:45 編集

ありがとうございます。 saltがついていたのですね。また、 Apache で使えるかは試してないのでわかりませんが、 htpasswd コマンドでは cryptだけでなくbcrypt、SHA、生パスワード、MD5など色々選択できることがわかりました。

otn

2017/02/28 15:43

BASIC認証だと、ブラウザがユーザ名とパスワードをコロンで結んで全体をBase64してサーバーに送るので、それとの混同でしょうか。

otn

2017/02/28 15:49

> saltをつけてcryptした後にBASE64していたのですね。 BASE64はしてないです。 > また、 Apache で使えるかは試してないのでわかりませんが、 htpasswdコマンドは、Apacheの付属物ですよ。

aglkjggg

2017/02/28 15:54 編集

ユーザー名 aaa パスワード bbbの場合 HTTPヘッダに Authorization: Basic YWFhOmJiYg== と入れるのは存じております。また、BASE64がどういうものかは理解しているつもりでした。ですが、なぜか.htpasswdを作成する場合、似て非なるものだったので調べましたが、わからず質問させていただきました。 ※追記 <s> saltをつけてcryptした後にBASE64していたのですね。</s> 間違いに気づいたので消しましたがすれ違いでした＞＜

otn

2017/02/28 23:14

> 似て非なるものだったので調べましたが、わからず質問させていただきました。目的が違うからです。サーバー側で保存する場合は、復号できないようにハッシュ化する必要があります。クライアントから送る場合は、復号できる必要があります。Base64しているのは「パスワードをそのまま書くとヘッダの構文エラーになる」というケースがあり得るためだと思います。

行動規範の内容に同意します