単純なユーザー名とパスワードの検証java

Question

学習の練習として最初のログインページを作成しようとしています。

たとえば、ユーザー名の塩を使用してパスワードを事前にハッシュすることでした。それをテキストファイルに保存し、ユーザーがログインしたときに同じ塩を使用してパスワードをハッシュし、その結果をテキストファイルと比較します。

私はセキュリティなどの完全な初心者ですので、これが安全かどうかわかりません。小規模アプリケーションの標準は何ですか？この方法が推奨されない場合、適切な単純な選択肢は何ですか？

EDIT私はそれを動作させることができる場合、1つの可能な解決策。パスワード保存のために

String unpwfield; 
    unpwfield = userId.getText()+passwordfield.getText(); 
    if (BCrypt.checkpw(unpwfield, passwordhash)) 
     System.out.println("It matches"); 
    else 
     System.out.println(userId.getText()+passwordfield.getText()); 

Answer 1

、あなたは遅いハッシュアルゴリズムを使用するようにするつもりです。暗号化ハッシュが速すぎるため、オフラインパスワードの推測で攻撃者が遅くなることはありません。たとえば、多くの場合、bcryptが最適なアルゴリズムです。

Bcryptは独自の塩を生成するので、これらを生成する安全な方法について心配する必要はありません。

私は塩としてユーザー名を使用しないでください。塩は、同じパスワードが複数回使用された場合、同じバイト表現で保存されることを避けることです。

理由は、ユーザーが同じパスワードを再使用すると、パスワードハッシュデータの可視性を持つ攻撃者はすぐに明らかになります。また、あなたのシステムが公開されている場合、アプリケーションのすべてのインスタンスは、全く同じ方法で保存されたadminユーザのハッシュを持っています。つまり、攻撃者はadminを塩として虹のテーブルをあらかじめ作成できます。

詳細情報とガイダンスについては、OWASP Cheat Sheet on Password Storageを参照してください。