2
これは、ハッシュする必要がある塩句に関する質問です。塩とパスワード - 接頭辞または接尾辞
フレーズに接頭辞を付けたり、接尾辞を後置する方が安全かどうか疑問に思っていましたか? 塩+フレーズや フレーズ+塩
私の質問はMD5sでこのポストにこのcommentから来ています。私は、著者のコメントの背後にある理由を理解しているかどうかはわかりません。
A
答えて
4
塩が前部または後部に付加されていても違いはありません。
- はあなた塩プライベートですが(それをどのようにプライベートであれば?)
次の要因は、セキュリティに影響を与えます。よりプライベートな方が良いです。これは、dbに塩を保存するのを避けることができれば、dbが侵害されたとしてもシステムを無差別攻撃から安全にすることができることを意味します。
- 塩は塩分ごとにランダムに塩漬けされていますか?これは、dbが侵害され、saltがdbに格納されていると言うと、rainbow table攻撃に対する防御に役立ちます。注意:パスワードの保存期間が十分長い場合は、ブルートフォース攻撃の影響を受けません。
- 塩は十分に長いですか?あなたの塩が長いほど安全です。
+1
誰でもこれを落とした人は、 –
+4
それは私(私はupvoted)ではなかったが、私はあなたの最初の弾丸のために推測するだろう。私的な塩は本当にセキュリティを追加するものではありません。たとえクラッカーがハッシュと塩にアクセスしたとしても、塩が十分に長く、パスワードごとにランダムである限り、虹のテーブルは計算上禁止されています。 – Randolpho
+0
塩が公開されていれば、パスワードは短くても大丈夫です。 –
-2
技術的には、塩がユニークであり、容易に推測できない限り重要ではありません。私がしたように、塩を保管する間違いをしないでください。
文字列を "ソルト"する目的は、MD5ハッシュよりも少し個人的かつユニークな方法でそれをスクランブルすることです。あなたはそれがどのように動作するかを知っている唯一の人である限り、それを行うための正しい方法または間違った方法はありません。どちらの方法でもMD5ハッシュをではなくと一致させることで、パスワードを簡単にクラックさせることができます。
+0
私はこれをdownvoteする理由はありません... –
+0
クラッカーが一般的な方法を想定している場合は、まあ、それを特定の方法で技術的に行うことは、その考え方を防ぐことができます。言い換えれば、私の研究が有効であれば、接頭辞と接尾辞は特定の脅威に対してますます脆弱です。だから、あなたがセキュリティの編集的症例であるならば、私はそのようなことに関する知識のある専門家ではないふりをしています。^_^ –
+2
-1塩は、暗号化された多くのパスワードで償却攻撃から守るために、暗号化されたパスワードで公開されています。秘密鍵と混同しないでください。 – starblue
1
接頭辞、接尾辞、接尾辞はすべて異なるハッシュを生成しますが、レインボーテーブルや他の事前ハッシュ型辞書攻撃を打ち負かすのと同じ目的を達成します。
私はこのコメントは、一般的にハッシュではなく、MD5の脆弱性と具体的に関係していると思います。私は詳細を理解していませんが、has to do with finding two prefixes that produce the same hash.
+0
衝突攻撃の仕組みではありません。コリジョンを生成するためにハッシュされる完全なメッセージを知る必要があります。部分的なメッセージから衝突を生成することはできません –
+0
ハッシュ衝突を引き起こす2つのメッセージが見つかりました。次に、これらの接頭辞のそれぞれに同じサフィックスを追加すると、別の衝突が発生します。引用されたコメントは、この脆弱性を利用したパスワードの亀裂を説明しようとしていたと思いますが、どのように動作するのか正確にはわかりません。 – erickson
+0
本当ですか? MD5の出力は単に最後の中間ハッシュ値です。衝突するプレフィックスが2つある場合は、中間のハッシュ値が同じで、その値がハッシュの全体の状態であることを意味します。同じ状態で2つのMD5ハッシュが同じデータをダイジェストした場合、どのような結果が期待されますか? http://www.win.tue.nl/hashclash/rogue-ca/ – erickson
0
誰かが塩の使用について疑問を持っていると、私は彼らが本当に最初にいてはいけないことを発明しているので怖いです。質問に基づいて、私の推奨はHMACを使用することです。
+1
が悪用される可能性は考えていません塩ベースのセキュリティに影響を与える同じ要因は、 hmacのアルゴリズム –
+0
質問は塩の場所について - キー管理ではありませんでした。 HMACの使用は場所の問題を解決します。 – Einstein
関連する問題
- 1. TextInputLayout接尾辞/接頭辞
- 2. Vue.js値の接頭辞と接尾辞
- 3. 最長共通接尾辞接頭辞
- 4. Plot.ly:単純な接頭辞または接尾辞のホバーテキスト
- 5. オーバーロードされた接頭辞/接尾辞コンパイラの最適化
- 6. Javaプログラムが接頭辞と接尾辞を読み取る
- 7. 接頭辞と接尾辞文字列一致の比較
- 8. apcu_fetch()は、接頭辞または接尾辞の方が高速ですか?
- 9. 選択したテキストに接頭辞と接尾辞を追加するには
- 10. 接尾辞配列対接尾辞木
- 11. Doctrine接頭辞または接尾辞なしの配列を取得
- 12. 前後のHTMLテキスト(接頭辞/接尾辞)入力フィールド
- 13. C++で接頭辞トライを作成する接尾辞Trie
- 14. 接頭辞接頭辞:classpath:/ templates/throwing 404
- 15. 接頭辞と接尾辞をmvでファイルから削除します
- 16. pkg-config接頭辞と接尾辞を持つlibファイルを返します。
- 17. エクセルで接頭辞と接尾辞を組み合わせる方法は?
- 18. 接頭辞と接尾辞の間のコンテンツを抽出する方法は?
- 19. C++ 11の接頭辞/接尾辞のリストはどこにありますか?
- 20. 接頭辞と接尾辞が一致するファイルを見つける
- 21. パンダのデータフレーム:データフレームに接頭辞/接尾辞を追加するには、全データフレーム
- 22. URI接頭辞
- 23. Delphi XE2:DLLアプリケーションのLIB接頭辞/接尾辞/バージョン設定がプロジェクト|オプション
- 24. SequenceStyleGenerator、接尾辞の代わりに接頭辞を使用する方法
- 25. 接尾辞トライC++
- 26. 接尾辞(.com.whatever)または接頭辞(サブドメイン)ではなく、TLDドメイン別にホストファイルをソートします。
- 27. 接頭辞$ http url
- 28. 最長接頭辞
- 29. Freemarkerの:(接頭辞)
- 30. グローバルスコープ内の接頭辞または接尾辞演算子は副作用ですか?
本当の質問は、なぜMD5を使用しているのですか? – BobbyShaftoe
質問と回答:http://stackoverflow.com/questions/674904/salting-your-password-best-practices – Randolpho
私はまだMD5についてのskrentaのブログ記事でDru Nelsonのコメントに関する合理的な説明を得ていません。しかし、コンセンサスは(大部分のみによって)塩分の配置が差異を生じないように思われる。私はちょっと見落としたくないです(つまり、もしDru Nelsonが実際に彼のコメントのなかに何かを載せているのであれば) –