回答編集履歴

計算間違いを修正しました。論旨に変更はありません。

2021/02/10 10:30

投稿

スコア11705

test CHANGED Viewed

@@ -10,7 +10,7 @@
 maisumakunさんから『攻撃者は「クライアントが送信するハッシュ値」を総当りするところからスタートできる』という指摘がありますが、現実にはこれは困難です。
-なぜかというと、上記のようにSHA-256ハッシュをサーバーに送信する例で考えると、すべてのハッシュ値のとり得る値は 2^256 で 約 1.16e+77 通りあります。これに対して8桁英数字の総数は 62^8 で約2.81e14 で、1万回ストレッチすると、2.81e16回のハッシュ計算を要することになりますから、**ハッシュ値での総当りは現実性がなく、結局パスワードから総当りした方がはるかに効率がよい**ことになります。
+なぜかというと、上記のようにSHA-256ハッシュをサーバーに送信する例で考えると、すべてのハッシュ値のとり得る値は 2^256 で 約 1.16e+77 通りあります。これに対して8桁英数字の総数は 62^8 で約2.81e14 で、1万回ストレッチすると、2.81e18回のハッシュ計算を要することになりますから、**ハッシュ値での総当りは現実性がなく、結局パスワードから総当りした方がはるかに効率がよい**ことになります。