回答編集履歴
3
修正
test
CHANGED
|
@@ -4,7 +4,7 @@
|
|
|
4
4
|
|
|
5
5
|
攻撃者に対象のユーザID以外何も情報が無い場合、単純にあるユーザのパスワードをプルートフォースアタックで破ろうとするなら、ログイン画面でパスワードの候補を片っ端から試していく手法が考えられます。
|
|
6
6
|
|
|
7
|
-
パスワードが英語小文字で8文字と決まっているなら26^8≒2088億回程試せば、相当運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように
|
|
7
|
+
パスワードが英語小文字で8文字と決まっているなら26^8≒2088億回程試せば、相当運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように変化されていようとも試行回数に代わりはありません。なのでソルトをつけて暗号化しても(この方法での解析の)難易度は変わりません。
|
|
8
8
|
|
|
9
9
|
でも考えてみてください。ログイン画面から何億回もパスワードを変更しながらトライを繰り返すと相当時間が必要になります(1回辺りの処理時間はサービスサーバの処理能力や間の回線によって制限をうけます)し、その間に管理者に不自然なログが発見され対策されると思います。
|
|
10
10
|
|
2
修正
test
CHANGED
|
@@ -4,7 +4,7 @@
|
|
|
4
4
|
|
|
5
5
|
攻撃者に対象のユーザID以外何も情報が無い場合、単純にあるユーザのパスワードをプルートフォースアタックで破ろうとするなら、ログイン画面でパスワードの候補を片っ端から試していく手法が考えられます。
|
|
6
6
|
|
|
7
|
-
英語小文字
|
|
7
|
+
パスワードが英語小文字で8文字と決まっているなら26^8≒2088億回程試せば、相当運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように暗号化されていようとも試行回数に代わりはありません。なのでソルトをつけて暗号化しても(この方法での解析の)難易度は変わりません。
|
|
8
8
|
|
|
9
9
|
でも考えてみてください。ログイン画面から何億回もパスワードを変更しながらトライを繰り返すと相当時間が必要になります(1回辺りの処理時間はサービスサーバの処理能力や間の回線によって制限をうけます)し、その間に管理者に不自然なログが発見され対策されると思います。
|
|
10
10
|
|
1
修正
test
CHANGED
|
@@ -4,7 +4,7 @@
|
|
|
4
4
|
|
|
5
5
|
攻撃者に対象のユーザID以外何も情報が無い場合、単純にあるユーザのパスワードをプルートフォースアタックで破ろうとするなら、ログイン画面でパスワードの候補を片っ端から試していく手法が考えられます。
|
|
6
6
|
|
|
7
|
-
英語小文字の8文字パスワードと決まっているなら26^8
|
|
7
|
+
英語小文字の8文字パスワードと決まっているなら26^8≒2088億回程試せはどんなに運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように暗号化されていようとも試行回数に代わりはありません。なのでソルトをつけて暗号化しても(この方法での解析の)難易度は変わりません。
|
|
8
8
|
|
|
9
9
|
でも考えてみてください。ログイン画面から何億回もパスワードを変更しながらトライを繰り返すと相当時間が必要になります(1回辺りの処理時間はサービスサーバの処理能力や間の回線によって制限をうけます)し、その間に管理者に不自然なログが発見され対策されると思います。
|
|
10
10
|
|