私は塩とハッシュパスワードについて学んでいます。私は、SQLデータベースと統合するノードアプリケーションを持っています。私はbcryptノードのミドルウェアを使用して、データベースに保存するためにハッシュ化されたパスワードを作成しています。私はセキュリティ上の脅威を除いてパスワードを期限切れにする必要はないのですが、パスワードのハッシュはどうですか?ハッシュされたパスワードを時折リフレッシュする方が安全ですか?
私の考えでは、すべてのユーザーのハッシュパスワードを毎週ランダムに更新するほうが安全でしょうか?パスワードは同じままですが、サーバーは新しいハッシュを生成して格納します。
誰かが私のウェブサイトやデータベースを攻撃しようとした場合、ハッシュを使用するとヘルプのセキュリティがランダムに変更されますか?
いいえ、全く助けになりません。ハッシュが変更されているかどうかは関係ありません。パスワードは同じであり、攻撃者は現在のパスワードであるかどうかにかかわらず、発見したデータベースに対してパスワード検索攻撃を開始できます。
あなたはbcryptを使用して理解してくれていることを分かりますpassword expiry policies are virtually useless。あなたの情報のために、NISTはパスワードセキュリティにnew guidanceを提供しています。そして良い知らせは、パスワードの期限切れや特殊文字の組み合わせを必要とするような古いものがたくさん落とされていることです。過去10年間に非常に多くの人々に強制されてきたゴミのパスワードポリシーの推奨事項の上に勝利の論理が勝つようになり始めています。
基本的なアルゴリズムが同じままであるため、役に立たないでしょう。ハッカーがハッシュされたパスワードのリストを受け取った場合、既知のアルゴリズムでハッシュをブルートフォースし、プレーンテキストの単語リストに対して塩を推測することができます。アルゴリズムと推測されたsaltがプレーンテキストと等しい場合、結果のハッシュに関係なくパスワードはクラックされます。
私たちが望む場合でも、我々は平文のパスワードを持っていないので、毎週ハッシュをランダムに更新することはできませんでした。ユーザーがログインしているときだけ可能です.NISTの推奨事項についての良いニュースです! – martinstoeckli