回答編集履歴
4
追記
answer
CHANGED
|
@@ -12,7 +12,7 @@
|
|
|
12
12
|
|
|
13
13
|
**余談3**
|
|
14
14
|
hash 値を取るために使用しているアルゴリズムが古いです。(現在、パスワードハッシュのアルゴリズムとしては非推奨になっています)
|
|
15
|
-
php であれば、[password_hash()](http://php.net/manual/ja/function.password-hash.php) を利用するのがシンプルで適切です。その時点の適切なアルゴリズム,salt,ストレッチングを適切に使用してくれます。
|
|
15
|
+
php であれば、[password_hash()](http://php.net/manual/ja/function.password-hash.php) を利用するのがシンプルで適切です。その時点の適切なアルゴリズム,salt,ストレッチングを適切に使用してくれます。検証には [password_verify()](http://php.net/manual/ja/function.password-verify.php) を使用するので、select の内容も変わります。
|
|
16
16
|
|
|
17
17
|
**雑談**
|
|
18
18
|
decode できない方法を暗号化と呼ぶのは、あまり適切ではないです。
|
3
微修正
answer
CHANGED
|
@@ -1,4 +1,4 @@
|
|
|
1
|
-
パスワードのハッシュ化はおおよそ DB のデータ流出
|
|
1
|
+
パスワードのハッシュ化はおおよそ DB のデータ流出に対して保険的に実施されます。*パスワードリスト攻撃の素材にされることを懸念してのお作法です。
|
|
2
2
|
|
|
3
3
|
そのため、誰が入力しているのかは意識しない設計になっています。
|
|
4
4
|
|
|
@@ -12,7 +12,7 @@
|
|
|
12
12
|
|
|
13
13
|
**余談3**
|
|
14
14
|
hash 値を取るために使用しているアルゴリズムが古いです。(現在、パスワードハッシュのアルゴリズムとしては非推奨になっています)
|
|
15
|
-
php であれば、[password_hash()](http://php.net/manual/ja/function.password-hash.php) を利用するのがシンプルで適切です。
|
|
15
|
+
php であれば、[password_hash()](http://php.net/manual/ja/function.password-hash.php) を利用するのがシンプルで適切です。その時点の適切なアルゴリズム,salt,ストレッチングを適切に使用してくれます。
|
|
16
16
|
|
|
17
17
|
**雑談**
|
|
18
18
|
decode できない方法を暗号化と呼ぶのは、あまり適切ではないです。
|
2
微修正
answer
CHANGED
|
@@ -1,4 +1,5 @@
|
|
|
1
|
-
パスワードのハッシュ化はおおよそ DB のデータ流出に対して保険的に実施されます。
|
|
1
|
+
パスワードのハッシュ化はおおよそ DB のデータ流出(オフライン攻撃)に対して保険的に実施されます。*パスワードリスト攻撃の素材にされることを懸念してのお作法です。
|
|
2
|
+
|
|
2
3
|
そのため、誰が入力しているのかは意識しない設計になっています。
|
|
3
4
|
|
|
4
5
|
**余談1**
|
1
微修正
answer
CHANGED
|
@@ -14,4 +14,4 @@
|
|
|
14
14
|
php であれば、[password_hash()](http://php.net/manual/ja/function.password-hash.php) を利用するのがシンプルで適切です。
|
|
15
15
|
|
|
16
16
|
**雑談**
|
|
17
|
-
|
|
17
|
+
decode できない方法を暗号化と呼ぶのは、あまり適切ではないです。
|