2011年6月3日金曜日

salt無しでパスワードのハッシュ作るのが最近の流行???



http://bakera.jp/ebi/topic/4421


↑をみてふとgoogle code searchしてみたんだけど、パスワードをそのままhash取る実装あるのね。。。


でも有名なパスワードに関してはhash databaseとかがあるので、最悪ハッシュ値をググルだけでパスワードが推測できてしまう。


昔Webプログラマのバイトをしてた時はググって見つけるサンプル実装のほとんどは、パスワードとともにシステム固有のソルト(インストール時に設定)を足した文字列のhashをとってたような気がするんだけど、、、気のせいかもしれない。


ちなみに同じ理屈でhashを数回取るというだけの実装ならhash DBもすぐ拡張できちゃうよね。一般にパスワードのハッシュはファイルかDB上にあるので、それ以外のところにシステム固有のソルトを持ってやるといいのかもしれない。うーん、カーネル空間?TPM?まぁどっかだよどっか。


システムの売り込みとしてうまいのはドングルにシステム固有文字列+ハッシュ関数を持たせる事かな?


追記


ソルトをランダムに生成してソルトも記録するってのもあるね、そういや。DB検索は免れるけど辞書アタックは免れないはず、、、いあ、上のを含めて大差はない状況だけどね。





0 件のコメント:

コメントを投稿