パスワードの保管方法
こんばんわ!!
koutaです。
日が開いてしまいました。
本来であれば、情報の棚卸のフォーマットを作って説明の予定でしたが、
作るってる時間がとれなくて。
別テーマにしてしまいました!!
ごめんなさい(´Д⊂ヽ
本日はパスワードの保管方法についてです。
端末の話ではなく、webアプリの話です。
皆さんはどのようにパスワードを保管してますか?
- 平文
- 暗号化
- ハッシュ化
どれが正しいでしょうか?
こんな風に並べたら3.ハッシュ化を選ぶと思いますが、
ハッシュ化だけでは不十分です。
平文で保管しているのは良くないです。
イントラでない限りはやめましょう。
暗号化とハッシュ化の違いはわかりますか?
暗号化は可逆です。
復号化することでもとに戻せてしまいます。
ハッシュ化は不可逆です。
もとの値を作るのは困難です。
困難なだけで、可能なのです。
http://www.kiyori.co.jp/md5reverse/
なんと分かってしまいます。
SHA2でも実は結構危ないのです。
最近スタンダードやSHA256のハッシュ関数ですが、
技術が発達しすぎて、
200万円くらいの端末で、1億パターン/秒のスピードで解析できるらしいです。
8桁の数字と分かっていたら
たった1秒でパスワードが解析されるということです。
IPAで推奨されているやり方は
パスワード + ソルト
のハッシュ化です。
ソルト(SALT)とは、任意の文字列です。
パスワードを解析するのを困難にするためのものです。
個人的には下記の条件が満たせると良いです。
- 20文字以上
- ユーザーごと異なる
少し長くなってしまったので今日はここまてでです。
次は具体的なハッシュ化の仕方を書きます。
ではでは。