2019-02-01

ハッシュSaltって一緒に保存するんじゃないの?

ここ

http://b.hatena.ne.jp/entry/s/jiraffe.co.jp/news/2019/01/31/1321/

ブコメを見ていると、「Salt漏れたのかよpgr」ってコメントが多いんだけど、Saltって一緒に保存するんじゃないの?

$2y$10$aPdckF6PQyKBOpRFDcT5C.zUshodbttCMtz9hZhfI7BwHizXJwTs6

みたいに。

  • パスワードとは別の場所に保存しとくとか、ユーザーIDをハッシュ化したものにするとか、やり方は色々ありそうだ。

    • いやいや、例えばPHPのpassword_hash()の結果を分割して保存しないでしょ。 文字数区切りで分割保存したとしたら、ハッシュ化アルゴリズム変わったときに区切り文字数の部分も変更しなき...

      • すまない、なんの話をしてるのかよく分からん。 文字数区切りで分割保存したとしたら 取り敢えずこれはどういうこっちゃ?

        • うまく説明できるかわからないけどしてみる。あと、誤っていたら誰かからどんどんツッコミが入ることも期待している。 まず、目的は「ハッシュ化されたパスワードとSaltを別々の場...

          • 横だけど勉強になったわ ぐぐったらSaltは一緒に入れとくもんで、もともと時間稼ぎ程度の役割しかないものだからSaltとは別に平文+Saltに対して「外部のSalt」とでも言うべき役割を果た...

            • 言いたかったことが伝わっていてうれしい。 「Saltとハッシュ化されたパスワード(つまりハッシュ)は一緒に保存しておくこと」が今現在においてはベターな方法で、したがって「ハ...

          • 概ね横増田と同じような内容を調べて同じような感想になったので、そこら辺は省くね。 ただ、password_hash は内部的に bcrypt を使っていて、 bcryptはパスワードとSaltを . (ドット)で区切っ...

  • saltはレインボーテーブル攻撃に対応するためだから、saltを別に保存する必要ないわな。

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん