回答編集履歴
1
微修正
answer
CHANGED
|
@@ -3,7 +3,7 @@
|
|
|
3
3
|
ハッシュが漏洩した場合は大変危険です。ヒントを与えてしまっていることは確かなので。
|
|
4
4
|
ただ、ハッシュが漏洩したということは、一般的には DB にアクセス可能な状態になっていると考えられます。
|
|
5
5
|
その場合、パスワードのハッシュ値とストレッチング回数、ソルトを分離して保存しておいたとしても全て流出してしまっている可能性が高いです。
|
|
6
|
-
アルゴリズムに関しては、アルゴリズム数がそれほどないので漏れても漏れなくても誤差の範囲かと。
|
|
6
|
+
アルゴリズムに関しては、想定されるアルゴリズム数がそれほどないので漏れても漏れなくても誤差の範囲かと。
|
|
7
7
|
|
|
8
8
|
つまり、password_hash() で作られるハッシュは、暗号アルゴリズム、ストレッチング回数、ソルトなどパスワードの検証に必要な情報をすべて持っていますが、それぞれを分離して保存した場合とそれほどセキュリティ精度は変わらないと考えられます。
|
|
9
9
|
|