回答編集履歴
4
追記
test
CHANGED
@@ -26,7 +26,7 @@
|
|
26
26
|
|
27
27
|
hash 値を取るために使用しているアルゴリズムが古いです。(現在、パスワードハッシュのアルゴリズムとしては非推奨になっています)
|
28
28
|
|
29
|
-
php であれば、[password_hash()](http://php.net/manual/ja/function.password-hash.php) を利用するのがシンプルで適切です。その時点の適切なアルゴリズム,salt,ストレッチングを適切に使用してくれます。
|
29
|
+
php であれば、[password_hash()](http://php.net/manual/ja/function.password-hash.php) を利用するのがシンプルで適切です。その時点の適切なアルゴリズム,salt,ストレッチングを適切に使用してくれます。検証には [password_verify()](http://php.net/manual/ja/function.password-verify.php) を使用するので、select の内容も変わります。
|
30
30
|
|
31
31
|
|
32
32
|
|
3
微修正
test
CHANGED
@@ -1,4 +1,4 @@
|
|
1
|
-
パスワードのハッシュ化はおおよそ DB のデータ流出
|
1
|
+
パスワードのハッシュ化はおおよそ DB のデータ流出に対して保険的に実施されます。*パスワードリスト攻撃の素材にされることを懸念してのお作法です。
|
2
2
|
|
3
3
|
|
4
4
|
|
@@ -26,7 +26,7 @@
|
|
26
26
|
|
27
27
|
hash 値を取るために使用しているアルゴリズムが古いです。(現在、パスワードハッシュのアルゴリズムとしては非推奨になっています)
|
28
28
|
|
29
|
-
php であれば、[password_hash()](http://php.net/manual/ja/function.password-hash.php) を利用するのがシンプルで適切です。
|
29
|
+
php であれば、[password_hash()](http://php.net/manual/ja/function.password-hash.php) を利用するのがシンプルで適切です。その時点の適切なアルゴリズム,salt,ストレッチングを適切に使用してくれます。
|
30
30
|
|
31
31
|
|
32
32
|
|
2
微修正
test
CHANGED
@@ -1,4 +1,6 @@
|
|
1
|
-
パスワードのハッシュ化はおおよそ DB のデータ流出に対して保険的に実施されます。
|
1
|
+
パスワードのハッシュ化はおおよそ DB のデータ流出(オフライン攻撃)に対して保険的に実施されます。*パスワードリスト攻撃の素材にされることを懸念してのお作法です。
|
2
|
+
|
3
|
+
|
2
4
|
|
3
5
|
そのため、誰が入力しているのかは意識しない設計になっています。
|
4
6
|
|
1
微修正
test
CHANGED
@@ -30,4 +30,4 @@
|
|
30
30
|
|
31
31
|
**雑談**
|
32
32
|
|
33
|
-
|
33
|
+
decode できない方法を暗号化と呼ぶのは、あまり適切ではないです。
|