ユーザーのパスワードを安全に保管する方法について - 11月 - 2013 - ソフォス プレス リリース、セキュリティニュース、ソフォスに関するニュース記事 - Sophos Press Office | Sophos News and Press Releases

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on November 20, 2013 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 読者の方は、Adobe 社で 2013 年 10 月に発生したデータ侵害のインシデントについてはご存じでしょう。 これは、1 億 5 千万件のレコードが漏えいした史上最大級のユーザー情報データベースに関するインシデントであるだけではありません。今回のインシデントから別の問題も見えてきました。 漏えいしたデータから、Adobe 社がユーザーのパスワードを不適切な方法で保管していたことが明らかになりました。同社の利用した方法よりも格段に安全でパスワードを保管する方法はあります。またそれが、決して難しくないことを考えると、セキュリティの観点からす

[coppieee]

ソルトの説明に「必ずランダムなソルトを選択」とあるが、これは間違い。ソルトはユーザごとに異なり、十分に長ければ、推測可能であったとしても問題ない。 参考: http://goo.gl/oE7VqZ

[iR3]

ふむふむ

[rch850]

PBKDF2は知らなかった

[calpo]

ストレッチ回数、ソルト、最終的なハッシュ値を保存する。

[typista]

セキュリティの重要課題：ユーザーのパスワードを安全に保管する方法について

[setagayatagayase]

データがあれば鍵を開けることができてしまうというやり方は根本的に見なおさないとダメだと思う。生体認証なんて論外。 / ユーザーのパスワードを安全に保管する方法について ソフォス

[shin1x1]

パスワードを平文保存からハッシュのストレッチング処理を行う場合まで順を追って解説 / 分かりやすい / PHP 5.5 以降なら password_hash() を使う

[theatrical]

大体知ってたけど、具体的な数字は知らなかったのでありがたい。あとAdobeはひどい

[nekoruri]

そろそろパスワードを保存しなくて良い世の中になって欲しい。

[EasyGoer]

具体的な数字があっていいね

[yamadar]

「どうしたら良いか」について示されていて、参考になる。ひとまずこれで組んでみよう。

[comutt]

必読

[f99aq]

ストレッチングまで書いてあるし、具体的に使うべき道具が全て載ってる。

[Jxck]

PBKDF2 で HMAC-SHA-256

[akasata]

ふむふむ。Case 5の説明が特に参考になる

[Sips]

大事

[honeniq]

凄く分かりやすくていい記事。

[Koozz]

先人たちの知恵 ソルト回数で常にもやもや何回回したらいいんだろう。

[minoton]

パスワード保持まとめ

[megazalrock]

先人たちは偉大だ。

[ya--mada]

ソルトとストレッチでパスワードリストはある程度守れるけど、売り口がお粗末とか、パスワードがお粗末で不正侵入は別な方法で穴を埋めるしかない。

[tmatsuu]

翻訳記事きたっ。素晴らしい。ありがとうございます