スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

パスワードのハッシュ化について 

パスワードのハッシュ化について
http://neta.ywcafe.net/000910.html

僕も昔から思っていたことで。

いろんなwebサイトで会員登録をするとパスワードとかを登録すると思います。

そのパスワードの保存方法が良くないよっていうお話なのですが。


よくWEBサービスでパスワードを忘れたっていう風にメールアドレスを入力スト、登録時のパスワードが送られてくるサービスがあります。


まえまえから思ってたけど、危険すぎませんか?っていうことです。


メールでパスワードを送ること自体が危険ということもあるのですが。


まあ、それは今回とは置いておいて。



自分の登録したパスワードが平文でサーバーに置いてあるっていうことですよ。



まず、これのいけないところ。


悪い人にサーバーに侵入されてパスワードがそのまま見れちゃうということです。



通常ハッシュ化します。
ハッシュ化っていうのは暗号化みたいなものなのですが。
暗号化と違うのは復号化できないということです。



ハッシュ化を行うと、ぐちゃぐちゃな値が出力されてきます。


たとえば、


aiueo
っていうパスワードがあるとすると。
これをハッシュ化すると


klasjdfadgfhakldsjfklajdfklajkdlfjalksdjfalkjdsflkajdlfkajfkdlafkajdklaf

みたいな文字列がでてきます。


この文字列からaiueoに戻すことはできません。

通常はこれを利用してパスワードを保存します。


ログインする際に入力されたパスワードを毎回ハッシュ化し、ハッシュ化されて保存されているものと照らし合わせて同じかどうか確認するということです。






もしも何らかの原因でハッシュ化されたパスワードが漏れたとしても、その値をログインフォームに入力してもログインできないということはわかると思います。





とまあ、こんなことは当たり前のようにやっていることなのですが。

それをやっていないところが結構あるということです。



最低でも、もともと入力したパスワードをメールで送り返してくるようなところは、だめだと思います。





ついでにハッシュ関数として
MD5とかSHAとかがあります。



MD5のほうはいろいろと問題が指摘されていて。
違うパスワードなのに同じハッシュ値になる的なものだったと思います。



ちょっと今調べていたらおもしろいことを知りました。


ハッシュ値をgoogleで検索すると元がわかるかもっていうことです。

webページでURLにハッシュ値をいれている可能性があり、それで推測できるとのことです。

よく考えたなぁ(笑



まあ、おもしろいね。

まあ、まず最初に、クラックされないようなサイトを作ることが重要ですけどね


スポンサーサイト

コメント

コメントの投稿















管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL
http://kunitachi2.blog21.fc2.com/tb.php/1957-4b30b9f1