Firebaseにパスワードを安全に保存する方法を知りました。私はプライベートである別のチャットルームを持つチャットアプリケーションを作成しています。もちろん、部屋にアクセスするにはパスワードを知っておく必要があります。私は、JavaScriptライブラリを使用してユーザーの入力パスワードを暗号化し、その暗号化されたパスワードをFirebaseデータベースに送信することを考えていました。このようにするのは安全ですか?Firebase Javascript:安全にデータベースにパスワードを保存してください
号
攻撃者は、彼はまた、暗号化キーを取得するDBを取得するときに、パスワードを暗号化しないでください。ハッシュ関数を使うだけでは不十分で、単に塩を追加するだけでセキュリティを向上させることはほとんどありません。約100msの間、ランダムな塩でHMACを繰り返し、塩をハッシュで保存します。 ehash,PBKDF2,Bcryptなどの機能を使用してください。要点は、攻撃者が無差別にパスワードを見つけるのに多くの時間を費やすことです。
Isnt that still hashing? :/ –
はい、いいえ、暗号化ハッシュ関数を使用するかどうかを指定できます。しかし、非常に高速な1つのハッシュではなく〜1〜100 msです。また、Blowfishを使用するHMACまたは暗号化方式のBCryptを使用して、ランダムな塩を使用します。カウントするCPU使用率のnsとmsの差です。これにより、攻撃者が無差別にパスワードを強制するための10万倍の作業が増えます。 – zaph
安全なハッシュアルゴリズムと塩を選択しない限り、はい! –
HTTPSを使用すると、クライアントとサーバーの間でパスワードを送信することを心配する必要はありません。 –
@Jonaswコメントは言葉のように理解するのは難しいです。また、塩を使ったハッシングもパスワードには不十分です。 - zaph 32分前 – zaph