質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.22%

DBのテーブル上に保存された暗号化されているパスワードを変更する方法

解決済

回答 5

投稿

  • 評価
  • クリップ 0
  • VIEW 1,323

keita0236

score 23

こんにちは。
現在下記の環境を使って、ユーザーの新規登録/ログイン機能が付随する簡単な
ウェブアプリケーションを作成しています。
当方の環境は以下です

・PHP7.1.4
・cakePHP2.3
・Apatch2.4.6
・MySQL

その上で、ユーザーのログイン情報(ユーザー名、メールアドレス、パスワード)を
保存するUSERテーブルがあるのですが、パスワードはウェブアプリケーションから
DBに保存する際、cakePHPのBlowfishPasswordHasher()でハッシュ化して保存しています

その上で、やりたいこととしましては、管理者(私)がDB上の上記ハッシュ化されたパスワードを
MySQLコマンドなどで直接、ハッシュ化した上で書き換えるということをやりたいです。

BlowfishPasswordHasher()でハッシュ化を行っているため、ここの部分と
MySQL側のハッシュ化の仕様を一致させる方法ではないとダメかなと考えており
色々方法を探って入るのですが、見つからないためご教授いただきたいと思います。

よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • shi_ue

    2017/06/10 16:58

    CakePHP 2.3 にはBlowfishPasswordHasherクラスがありません。2.4以降の誤りではないでしょうか?

    キャンセル

回答 5

+1

質問の意図がわかりかねるのですが、すでにハッシュ化されているものでも
管理者が好きに再暗号化するのはかまわないのでは?
そもそも暗号データは複合するのを目的としていないので
同じ手順で暗号化した文字列と比較して合致すればいいだけなので

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/06/09 16:25

    伝わりづらく申し訳ないです。
    既にDB上に保存されているハッシュ化されたパスワードを、管理者側で再度別の文字列を暗号化したものにして保存したいという内容になります。
    例としましては、

    現在、abcdefgがDB上にハッシュ化されて保存されている

    SQLを叩くなどしてjmptwyzという文字列をハッシュ化して上記パスワードを書き換えたい
    ※ハッシュ化されているとはいえ、abcdefgが容易なパスワードなので。

    上記の方法がわからず、困っているという状態です

    キャンセル

checkベストアンサー

0

せっかくPHPのタグが付いてますから、PHP的解決策を書きたいと思います。
CakePHPのソースを見て同じような実装で行きたいと思います。
openssl_random_pseudo_bytes関数を使っているので、opensslが利用可能である必要があります。

crypt.phpというファイル名とします。

<?php
// crypt.php
if (!isset($argv[1])) {
    echo "使い方:php crypt.php パスワード [salt]\n";
    exit;
}
$password = $argv[1];

if (!isset($argv[2])) {
    $salt = '$2a$10$' . str_replace(array('+', '='), '.',
        base64_encode(sha1(uniqid(openssl_random_pseudo_bytes(40), true), true)));
}
else {
    $salt = $argv[2];
}

echo crypt($password, $salt) . "\n";

これをシェルから

$ php crypt.php hogehoge

とするとハッシュしたパスワードを返します。
これをコピーして、mysqlで利用すればいいと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/06/10 21:32

    求めていた答えに一番近かったので、こちらをBAとさせていただきます!ありがとうございました

    キャンセル

0

んー、たぶんパスワード忘れた人用にパスワードの再設定をするんでしょうか?

なのであれば、救済プログラムを別途作ってあげたほうがよいようなきがします。

DB定義がどうなっているのかわかりませんが、
たとえば
update users set password = "ハッシュ化されたパスワード" where userId = "忘れた人のユーザーID";

passwordに新しいハッシュ化されたパスワードをBlowfishPasswordHasherつかって突っ込んでやればよいのではないでしょうか。

見当違いでしたらごめんなさい。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/06/09 16:35

    コメントありがとうございます!
    意図としましては、パスワード再設定ではないのですが、ちょっと複雑なのでご説明が難しいです。。。現在のログインを呼んでいるプログラムの設計がそもそも悪いのですが、とりあえず既存のDB上にあるハッシュ化されたパスワードを管理者側でSQL直打ちで別の文字列をハッシュ化した上で上書きということをしたいと考えています。



    キャンセル

0

MySQL の標準では blowfish 暗号化をサポートしていませんので、そのままではできません。

  1. ほかのツール(PHPなど)で blowfish ハッシュ値を計算しておいて使う
  2. MySQL のユーザー定義関数で blowfish ハッシュ値計算を行う関数を作っておいて、それを使う

のどちらかになるでしょうかね。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

0

同じようなことをCでUDFを作成して実現した方がいるようです

Password Hashing の MariaDB/MySQL ユーザー定義関数 (UDF) を作ってみた

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.22%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる