teratail
回答率
85.30%
teratail header banner
teratail header banner
質問するログイン新規登録
トップPHPに関する質問ハッシュ関数のソルトについて

編集履歴

回答編集履歴

3

修正

2016/03/30 13:04

投稿

hirohiro
hirohiro

スコア2068

answer CHANGED
@@ -1,7 +1,7 @@
1
1
  プルートフォースアタックは予測を行わずに可能性のある候補を総当りで試す方法ですが、この要素を踏襲しても目的や状況によって手法は複数に分かれます。
2
2
 
3
3
  攻撃者に対象のユーザID以外何も情報が無い場合、単純にあるユーザのパスワードをプルートフォースアタックで破ろうとするなら、ログイン画面でパスワードの候補を片っ端から試していく手法が考えられます。
4
- パスワードが英語小文字で8文字と決まっているなら26^8≒2088億回程試せば、相当運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように暗号化されていようとも試行回数に代わりはありません。なのでソルトをつけて暗号化しても(この方法での解析の)難易度は変わりません。
4
+ パスワードが英語小文字で8文字と決まっているなら26^8≒2088億回程試せば、相当運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように化されていようとも試行回数に代わりはありません。なのでソルトをつけて暗号化しても(この方法での解析の)難易度は変わりません。
5
5
  でも考えてみてください。ログイン画面から何億回もパスワードを変更しながらトライを繰り返すと相当時間が必要になります(1回辺りの処理時間はサービスサーバの処理能力や間の回線によって制限をうけます)し、その間に管理者に不自然なログが発見され対策されると思います。
6
6
 
7
7
  では目的のユーザの暗号化済みのパスワードを入手していたらどうでしょう?

2

修正

2016/03/30 13:04

投稿

hirohiro
hirohiro

スコア2068

answer CHANGED
@@ -1,7 +1,7 @@
1
1
  プルートフォースアタックは予測を行わずに可能性のある候補を総当りで試す方法ですが、この要素を踏襲しても目的や状況によって手法は複数に分かれます。
2
2
 
3
3
  攻撃者に対象のユーザID以外何も情報が無い場合、単純にあるユーザのパスワードをプルートフォースアタックで破ろうとするなら、ログイン画面でパスワードの候補を片っ端から試していく手法が考えられます。
4
- 英語小文字8文字パスワードと決まっているなら26^8≒2088億回程試せはどんなに運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように暗号化されていようとも試行回数に代わりはありません。なのでソルトをつけて暗号化しても(この方法での解析の)難易度は変わりません。
4
+ パスワードが英語小文字8文字と決まっているなら26^8≒2088億回程試せば、相当運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように暗号化されていようとも試行回数に代わりはありません。なのでソルトをつけて暗号化しても(この方法での解析の)難易度は変わりません。
5
5
  でも考えてみてください。ログイン画面から何億回もパスワードを変更しながらトライを繰り返すと相当時間が必要になります(1回辺りの処理時間はサービスサーバの処理能力や間の回線によって制限をうけます)し、その間に管理者に不自然なログが発見され対策されると思います。
6
6
 
7
7
  では目的のユーザの暗号化済みのパスワードを入手していたらどうでしょう?

1

修正

2016/03/30 13:02

投稿

hirohiro
hirohiro

スコア2068

answer CHANGED
@@ -1,7 +1,7 @@
1
1
  プルートフォースアタックは予測を行わずに可能性のある候補を総当りで試す方法ですが、この要素を踏襲しても目的や状況によって手法は複数に分かれます。
2
2
 
3
3
  攻撃者に対象のユーザID以外何も情報が無い場合、単純にあるユーザのパスワードをプルートフォースアタックで破ろうとするなら、ログイン画面でパスワードの候補を片っ端から試していく手法が考えられます。
4
- 英語小文字の8文字パスワードと決まっているなら26^8=2100億回程試せはどんなに運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように暗号化されていようとも試行回数に代わりはありません。なのでソルトをつけて暗号化しても(この方法での解析の)難易度は変わりません。
4
+ 英語小文字の8文字パスワードと決まっているなら26^8≒2088億回程試せはどんなに運が悪くても正解が見つかります。この方法であれば、試すのは暗号化前の文字列ですから(ログイン画面に打ち込んだ文字列をPHPがハッシュ化してDBのハッシュ済みの値と比較する)どのように暗号化されていようとも試行回数に代わりはありません。なのでソルトをつけて暗号化しても(この方法での解析の)難易度は変わりません。
5
5
  でも考えてみてください。ログイン画面から何億回もパスワードを変更しながらトライを繰り返すと相当時間が必要になります(1回辺りの処理時間はサービスサーバの処理能力や間の回線によって制限をうけます)し、その間に管理者に不自然なログが発見され対策されると思います。
6
6
 
7
7
  では目的のユーザの暗号化済みのパスワードを入手していたらどうでしょう?