[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

1007users がブックマーク コメント 125

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita

1007 users qiita.com/ockeghem

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント125

  • 注目コメント
  • 新着コメント
オーナーコメントを固定しています
ockeghem
オーナー Twitterにて出題した試験(クイズ)の想定正解と解説を書きました

その他
Falky
絶対にありえない「ソルトは保存せず毎回ランダムに生成する」が23.3%もいるの笑ってしまった。どうやって照合すんねんw

その他
joker1007
ここまでを知識として知っていることと、職場のシステムがそうなっているかどうかはまた別という問題がある。

その他
kazuhooku
バランスのとれた良い記事。個人的にはpepperの前に、DBのパスワードカラムを読み込み禁止にすべきだと思う(SQLインジェクション耐性できるしストアドで認証出来る)

その他
mak_in
ソルトの値が「ユーザ毎」に異なる、ってのがポイントなのか。ソルトはシステム全体で共通だと勘違いしてた。だから同じDBにいれるな、かと。最近だとライブラリや認証サービスに任せてて、あまり意識してなかったな

その他
sirobu
saltという名のpepperになってる気がする過去の担当システムに心当たりが......

その他
miyakawa_taku
bcrypt使えばソルトも一緒に出力されるから、bcrypt(2b)を正しく使ってその結果を保存しよう、がほぼ正解だと思う。ペッパーは知らなかった。

その他
new3
pepperは俗語でNISTとかではsecret saltとかだった気がするが、用語が普及してきたんですかね。となるとsugarの登場が待ち遠しいな。

その他
haatenax
Twitterのアンケートは回答だけ見るために適当に押してる層多い。「回答だけ見る」みたいな選択肢増やすのが無難な回避策。

その他
zxcvdayo
bcryptのsaltって 2ドルy10ドル(コスト)$ の後の22文字固定でそのあとのハッシュ値と区切り文字ないからわかりづらいのはありそう。中途半端に自前で実装するより仕組み知らんでも出来合いの使ってた方がはるかに正しいので......

その他
オーナーコメントを固定しています
ockeghem
オーナー ockeghem Twitterにて出題した試験(クイズ)の想定正解と解説を書きました

2023年08月17日 リンク

その他
lycolia
パスワードとかで使うハッシュのソルトの保存場所。基本は区切り付き文字列にして一か所に収めることが多い

その他
secseek
自前で実装するなってのがそろそろ普遍的な正解になりつつあるので、このシステムはbcrypt使っています、くらいのことは公開しちゃってもいいんじゃないかって思えてきました

その他
kiririmode
saltの保存

その他
kanehama
ソルト8文字とかで作って処理としては「前4文字」「パスワード」「後4文字」とか変な実装することによりもっと調べる遅くすることも可能かー。

その他
a-kuma3
salt が唯一の値という間違った認識はどこが起源なのだろう。/etc/passwd の古から2桁の salt がついてたのだから時代や世代ではないはず

その他
raitu
"ハッシュ関数は一方向なので、ハッシュ値とソルトから、数式などで平文パスワードが算出できるわけではなく、辞書攻撃や総当たり攻撃が必要となります"

その他
kuracom
ソルトのことすっかり勘違いしてた...フレームワークに任せきりにしてた

その他
ysync
bcryptに任せればハッシュと一緒にソルトも保存してくれて、レインボーテーブルの利用は防げるのでそれだけでいいのでは?

その他
diet55
高木浩光「これでもいろいろおかしい。」 https://twitter.com/HiromitsuTakagi/status/1692132317203186117

その他
nicht-sein
DBマスタ抜かれている時点で大体コードや環境一式も抜かれてるので、環境変数とかに逃がしても無駄じゃね?派。分からないならOAuthとか使った方が良いというのも分かるんだけど、OAuth自体が難しい罠

その他
itochan
ペッパー pepper 、知らなかった

その他
cielonlon
恥ずかしながら、勘違いしていた部分あり。。。勉強になりましたっ!!

その他
kazkun
ペッパー、知らんかった。

その他
fukumimi777
少なくとも、オレオレ実装だけは止めようね

その他
umakoya
saltってパスワード漏洩が致命傷にならないためだけのもので、同一パスワードが同一ハッシュ値になるのは仕方ないと思ってた。ユーザーごとにランダムに変えるものなのか。

その他
pmint
保存場所はあってるけど、ソルトをハッシュ化したら使えないだろ。ハッシュとは別にソルトがあるのに、どちらにも同じ処理をしてどうするの。「パスワードだけでなくIDもハッシュ化したほうが良い」みたいな話。

その他
Kazumi007
ソルト付きハッシュのソルトは、パスワードと同じDBに格納する

その他
Helfard
ソルト・ペッパーと来れば次は味の素だろうか?

その他
jama_ican
"パスワードの保存には、MD5やSHA-2のような一般的で高速なハッシュ関数ではなく、bcrypt、scrypt、Argon2などパスワード保護用に開発された「低速の」アルゴリズムが望ましいとされます"

その他
gologius
言い方はともかくこのコメントは確かになぁって思った。(どうでもいいけど初対面?の人にネット上とはいえ実名でため口ってどうなんだ・・・) https://qiita.com/ockeghem/items/d7324d383fb7c104af58#comment-0953379919fde5779fe0

その他
mockmock9876
ひろみちゅ先生がまた物申してたけど、何が違ったんだろ?

その他
dekasasaki
さすがのクオリティ

その他
kaiton
ソルトは個人ごとに異なる、これを理解していない人は多そう。個人IDからと実装をしているのが多そう https://x.com/hiromitsutakagi/status/1692132317203186117 「これでもいろいろおかしい」がどこなのか気になる

その他
arakash
ソルトの目的と保存方法がよく整理されている

その他
knjname
ブコメ見てても頭痛いコメントがある こんなもんbcryptを思考停止で使えばいいだけ 素人が工夫しないでくれ DBに生パスワードを伝送しないでくれ

その他
mabushii_sign
ちゃんと理解出来てなかったなぁ

その他
tpircs
ソルトを誤解してたことを告白しておきます。ペッパーと説明されてるものをソルトだと思ってた。まぁ適切に扱えていればセキュリティ強度としては問題ないのかもしれないけれども。

その他
soratomo
もうパスワードは漢字や絵文字や象形文字とかも必須にして、人々はそれを石版に描いて重みを感じながら大切に保管しよう。湿気対策や厄払いに塩(salt)とコショウ(pepper)まいておけば万全とか。

その他
dorje2009
半分近くはよわよわパスワードじゃなかったのね。意外とやるじゃない

その他
t-murachi
基礎知識やね( ́・ω・`)

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「ソルト付きハッシ...」が注目されています。

気持ちをシェアしよう

ツイートする

ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure y... Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセス

ブックマークしたユーザー

  • donotthinkfeel2025年04月14日 donotthinkfeel
  • xll2025年04月07日 xll
  • tomato37132025年04月06日 tomato3713
  • hifi00002025年04月06日 hifi0000
  • jkltf2025年04月06日 jkltf
  • tommy103442025年04月06日 tommy10344
  • citrus_ginger2025年04月06日 citrus_ginger
  • chopwave2025年04月06日 chopwave
  • kirikiriyamama2025年03月19日 kirikiriyamama
  • fbis2024年07月02日 fbis
  • katsukiniwa2024年03月06日 katsukiniwa
  • johshisha2024年01月19日 johshisha
  • lycolia2024年01月16日 lycolia
  • kumamon1020262023年11月14日 kumamon102026
  • Doraphie2023年10月25日 Doraphie
  • dealforest2023年09月27日 dealforest
  • techtech05212023年09月03日 techtech0521
  • kihala2023年09月03日 kihala
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /