[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

491users がブックマーク コメント 38

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog

491 users tech.nri-net.com

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント38

  • 注目コメント
  • 新着コメント
dkfj
2023年08月21日に記事を追記・一部修正しました

その他
mr_mayama
シュガーやソイソースといった手法も注目されている(いない

その他
knjname
重箱の隅をつつくようだが、通常はパスワードハッシュ発行ごとにソルトを作るのであって、ユーザーごとではないと思っている

その他
deep_one
レインボーテーブルの説明が適切ではない。あれは「計算済みのハッシュ値」からの逆引きなので「テーブル」って言うんだろ。/還元関数なんて存在していいの?(調べた)還元関数が還元できてない謎のものだった。

その他
taguch1
パスワードの保存をやめてワンタイムパスワードだけで実装してメールシステムや通信経路のセキュリティにリスクを丸投げってのでいい気がするけどな。

その他
JULY
計算済みのハッシュ値からパスワードを得る手法をレインボーテーブルという、と読めるけど、厳密には「手法の一つ」。愚直にハッシュ値をキーとしたDBだと量的に破綻するところを工夫したのがレインボーテーブル。

その他
Kmusiclife
あなたのパスワードは◯◯◯◯◯ですと教えてくれる便利サービス未だにある。法律でそろそろ定めてほしい。

その他
abstruct3431
「 レインボーテーブルの説明が適切ではない。」って言ってる奴は、どこからがブルートフォースの説明か明確にわかった上で言ってんだろうか?

その他
damehobbyanimelike-913
発想としては空き巣対策と同じ。鍵を二重にする。割れにくい窓ガラスにする。

その他
remonoil
パスワードがどんどん美味しくなっていく

その他
akatakun
MD5やSHA-1は、既に非推奨となっています, パスワード毎にソルトを用意する, ペッパー(シークレットソルト), ストレッチング

その他
zakusun
二段階認証すればいいじゃん。パスワードがバレてもログイン出来ないでしょ。簡単には。simを乗っ取られたらって言うけど、そしたら後は生体認証くらいでは?

その他
enemyoffreedom
FW組み込みの認証認可機能を使うか、自前で書くとしてもbcryptがライブラリなり標準関数で使えるはずだからそれを使えよと

その他
YassLab
"ソルトの目的は究極的には元のパスワードを割り出し難くすることです。その目的から照らし合わせると、ユーザー毎のソルトを利用することによりユーザー毎に計算する必要が出てきます。つまり計算量が物凄く増える"

その他
KoshianX
ストレッチングまで考えるとめんどうなのでこういうの自分でやらないといけないときはPBKDF2使ってるな。だいたいライブラリあるし。

その他
ShionAmasato
バッサリ省略しすぎた部分があるので直すと表明してるの、地味に好感ある

その他
tick2tack
ペッパー: ソルトよりも管理を厳重にした共通ソルトみたいなもの ストレッチング: ハッシュ化を何度も繰り返す。何千、何万回もやることも!?

その他
kurotsuraherasagi
わかりやすい。教材で引用できそう

その他
kusigahama
これ頑張ってもパスワードを使い回すユーザに対する軽減策でしかないんだよな。かつてのCookieのようにブラウザとサイトがやりとりする方が良さそう。通常フローでパスワードをユーザに見せる必要ないよなぁ。

その他
shoh8
ビネガーで全ての味を均一化して、同じパスワードで入れるようにしよう

その他
Magicant
ソルトだけでなくペッパーも加へた方がいい理由の説明が曖昧なやうな

その他
remonoil
remonoil パスワードがどんどん美味しくなっていく

2023年08月19日 リンク

その他
djkaz
「対象の文字列が8桁英数字だったとしたら、その組み合わせは約220兆パターンです。今のGPUであれば数十分程度で全ての組み合わせを計算できます」

その他
webnoshiori
わかりやすー!

その他
raitu
レインポーテーブル攻撃と、その対策であるソルトやペッパーの解説

その他
chintaro3
塩と胡椒が味噌ってか。

その他
Silfith
初学者がこんなの読むと最後のbioに並ぶ著書で権威付けしそうで困る。 中身はおかしいのでこんなものを鵜呑みにしないこと。

その他
softstone
レインボーテーブルの説明が不適切というかズッポリ抜けてるので話がぜんぜん繋がってないね。この理解でこの著書一覧なら日本のセキュリティ完全終了なのでケアレスミスで説明消しちゃったとか校正抜けだと思いたい

その他
TakamoriTarou
そのうちだんだんと増えて、クレイジーソルトとか、七味唐辛子みたいになるんかな(なりません

その他
tyosaka
良い記事。ありがとうございます。

その他
circled
Appleがパスワード辞めてパスキーにしようとしてる辺りが正解

その他
efcl
salt、ストレッチングについて

その他
IGA-OS
システム設計時に考えなければならぬもの

その他
Kmusiclife
Kmusiclife あなたのパスワードは◯◯◯◯◯ですと教えてくれる便利サービス未だにある。法律でそろそろ定めてほしい。

2023年08月18日 リンク

その他
tmurakam
ソルトの説明が変。ユーザごとではなくパスワードをハッシュ化して保存するときに毎回ランダムで作るのが正しい。

その他
napsucks
ストレッチングは何回ストレッチしたかさえ漏れなければかなり強力。まあ侵入された時点でお察しではあるが・・・。

その他
abstruct3431
abstruct3431 「 レインボーテーブルの説明が適切ではない。」って言ってる奴は、どこからがブルートフォースの説明か明確にわかった上で言ってんだろうか?

2023年08月18日 リンク

その他
taguch1
taguch1 パスワードの保存をやめてワンタイムパスワードだけで実装してメールシステムや通信経路のセキュリティにリスクを丸投げってのでいい気がするけどな。

2023年08月18日 リンク

その他
damehobbyanimelike-913
damehobbyanimelike-913 発想としては空き巣対策と同じ。鍵を二重にする。割れにくい窓ガラスにする。

2023年08月18日 リンク

その他
ya--mada
大きくもないウェーブに乗ってるの

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「何故パスワードを...」が注目されています。

気持ちをシェアしよう

ツイートする

何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog

不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。... 不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認

ブックマークしたユーザー

  • randynet2025年10月09日 randynet
  • kirikiriyamama2025年03月19日 kirikiriyamama
  • momonga_dash2023年09月15日 momonga_dash
  • kihala2023年09月09日 kihala
  • techtech05212023年09月06日 techtech0521
  • d128922023年09月03日 d12892
  • dhrname2023年09月01日 dhrname
  • yfnt2023年09月01日 yfnt
  • mgl2023年08月29日 mgl
  • thaturn2023年08月28日 thaturn
  • latteru2023年08月24日 latteru
  • shinagaki2023年08月22日 shinagaki
  • manboubird2023年08月21日 manboubird
  • s_ryuuki2023年08月21日 s_ryuuki
  • dogusare2023年08月21日 dogusare
  • wtatsuru2023年08月21日 wtatsuru
  • alice_r2023年08月21日 alice_r
  • nextworker2023年08月21日 nextworker
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /