回答編集履歴
1
追記
answer
CHANGED
|
@@ -1,2 +1,13 @@
|
|
|
1
1
|
安全かどうかを検討するには、まず想定される脅威を定義する必要があります。
|
|
2
|
-
脅威の分析から始めてください。
|
|
2
|
+
脅威の分析から始めてください。
|
|
3
|
+
|
|
4
|
+
**追記**
|
|
5
|
+
パスワードのハッシュ化は、総当たり攻撃や単純なパスワード対策としては意味を持ちません。
|
|
6
|
+
別の方法を検討する必要があります。
|
|
7
|
+
|
|
8
|
+
一般的にハッシュ化が有効と言われるのは、「DB データ流出時の時間稼ぎ」です。
|
|
9
|
+
これも適切なハッシュ化とストレッチングやパスワード文字列の複雑性の保証等の複合評価なので、質問にある内容では不十分です。
|
|
10
|
+
|
|
11
|
+
一方で、質問にある方法は「DB 管理者のカジュアルな覗き見」に対しては有効です。
|
|
12
|
+
|
|
13
|
+
想定する脅威がわからなければ、安全性の評価は無意味です。
|