erlangから生成されたハッシュされたパスワードを保存する方法

Question

私のerlangアプリケーションでパスワードをハッシュするためにcrypto：sha/1を使用しました。

mnesiaに直接得られたバイナリを保存するか、それとも16進文字列に変換する必要がありますか？

Answer 1

フロントエンドアプリケーションからパスワードのHmac SHA256 hex DigestまたはMD5 Digestを取得し、erlangメソッドを使用してハッシュを作成してから保存することができます。

たとえば、Webアプリケーションを使用している場合、アカウント作成時またはログイン時にユーザーからパスワードを要求します。javaScriptを使用してこのパスワードのMD5ダイジェストを作成し、その代わりにワイヤー（HTTPS）で送信します。実際のパスワード。 Erlangに到達すると、私はこのMD5ダイジェストのハッシュをJavaScriptから作成し、それをユーザーのパスワードとして保存します。だから、ユーザーが私のページにログインしようとするたびに、私は同様のプロセスを行い、保存されたものと彼のエントリのハッシュ出力を比較します。この質問に対する解決策を見て、SHA256 HMac Digestで続きを読む：HMAC SHA256 hex digest of a string in Erlang, how?と、この1：Erlang and JavaScript MD5 Digest match

Answer 2

実際には、mnesiaにタプル（または同じレコード）を格納しますが、そのレコードのフィールドには任意の用語（バイナリを含む）を格納できます。それらを文字列に変換する必要はありません。

Answer 3

パスワードをハッシュするためにcrypto：sha/1を使用することは危険です。少なくとも塩はありますが、このようなパスワードを格納するためにscrypt、bcrypt、pbkdf2と言うのが望ましいです。彼らは数多くの攻撃に対して弾力性があります。残念ながら、私はErlangのサポートがないことを知っています。/

Answer 4

使用https://github.com/smarkets/erlang-bcryptハッシュではなく、SHA1またはMD5を行うこと。