ハッシュ化されたパスワードが流出したとき、同じパスワードのやつが特定される問題ってさ、
最初からユーザーID+パスワードでハッシュ化しとけばいいだろうが。って思うんだけど、どう?
もしくはGUID+パスワードで、そのときのGUIDを一緒に保存とか。
初回登録日時でも悪くなさそう。
最悪アプリ固定のキーワードとか。
だめ?
詳しい方教えてください。
Permalink | 記事への反応(1) | 23:53
ツイートシェア
ユーザーID+パスワードでハッシュ化しとけば これだと、後日ユーザーIDを変更できなくなるね。 ユーザIDは変更させない仕様にするからいい? 顧客に対しては確かにそれでいいかもし...
先生、丁寧な解説ありがとうございます! よく言うソルトつきハッシュってそういうことだったんですね。 しっかりと調べもせずに書いてしまってお恥ずかしい限りです。
4
