「ハッシュ化したから安全」と主張するのをそろそろやめようか

電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、相次いで情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報（IDとパスワード）の漏洩を、外部から指摘されて気付いたとしている。 この両社の発表には、気になる内容が含まれていた。 ライフベアは、漏洩したパスワードは「不可逆な暗号化された状態」であり、「それらの情報を使って第三者にログインされることはありません」と断言した。不可逆な暗号化は、ハッシュ化を指すとみられる。 クービックは、パスワードはハッシュ化した状態で漏洩したと説明した。さらにハッシュについて「規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です」と付け加える。

[ockeghem]

批判的なコメントが多いけれども、BCryptでもArgon2でも通常Saltはハッシュ値とともに保存するので辞書攻撃には対抗できないでしょ。MD5の話ではない

[mitchell1983]

ハッシュ化したから安全なんてどこの誰が言ってるんだ。平文保存が危険と言っているだけで。完全に安全な暗号化なんてどこにも存在しないわな。

[JULY]

最後のページに書いてある 96% を2時間って、これかな https://leakedsource.ru/blog/lastfm 。だとすれば、この記事が書かれたのが 2016 年で、2012 年に Last.fm のアカウントがリークした件で、unsalted MD5 hashing と書かれている。

[harahse]

md5はダメで、SHA2だったらOKという話ではない。 個人毎にソルトをふれば、md5でもSHA2でも攻撃の手間は変わらない。 ソルトが大事なんですよ。 md5馬鹿にしてる人、よもやSHA2してるだけとかないよね？？

[youichirou]

MD5だとそろそろ強度(?)が足りないのは確かかも。こういうのって、一旦MD5で作ったシステムをSHA-2にリプレースする場合、平文パスワードを保存してないのであればどうするのがベストプラクティスなのかな。

[Rishatang]

SALTに関する認識がガバガバな人が多いことがよくわかるブコメ

[rryu]

ハッシュ化してあるからパスワードは悪用できないとするなら、想定解読時間を提示すべきという感じ。

[takeda25]

“ただソルトの内容やストレッチングの回数は、攻撃者による解析の助けになるので公表しなくてもよい”よく使われるbcryptではそれらは最初から保存されてるし公表も何もないでしょ。

[otihateten3510]

ハッシュドポテトって安全なイメージあるよな

[dagama]

MD5もSHA-1も危殆化発表されてるやつだからアウト。最低でもSHA-2系のSHA-256以上が欲しい。

[cubed-l]

ハッシュ値が漏えいしているならSaltも漏れている可能性を無視できないね

[masayoshinym]

”「ハッシュ化したから安全」”なんて誰も言ってない件。

[mas-higa]

でもハッシュ化してないのは危険でしょ

[PrivateIntMain]

里山に通帳と印鑑のセット放り投げとこぐらいの雑さ。探せる人は探せる。/現実ならコンクリ詰めで領海に落とすとかできるけどネットの海だとな。

[sin20xx]

ロジック選択についての議論は必要だがそれは環境や条件にもより議論の中枢ではない。結局のところ漏洩というのは事実として絶対に回避できるわけではない。故に『何を』『どのように』ハッシュ化、管理したかが肝要

[daybeforeyesterday]

うーむ

[higuchill]

これなぁ。じゃあどうするべきなのか。

[lainof]

それを言い始めたらパスワード認証自体も安全ではない

[kjin]

“ただ両方の工夫を適用しても、解析に時間がかかるようになるだけだ。解析できなくなるわけではない。”

[gui1]

お塩事件の犯人逮捕はまだですか(´・ω・｀)？

[soratomo]

とりまお塩盛っとく。

[monorod]

死んだ人間を生き返らせることが出来ないように、ハッシュドポテトから元のイモを復元することは出来ないのだ

[xjack]

ソルトなだけに塩対応

[karkwind]

単純ハッシュは、逆引きできる

[marmot1123]

しかしハッシュ化しないのは論外。あとMD5は強衝突耐性が、SHA-1は弱衝突耐性が突破されてなかったっけ？もっと強い暗号化方式（PHPならpassword_hash()でいい感じにしてくれる）を使おうな。漏洩後の対処は本稿の通りだと思

[ssids]

ソルトやストレッチングがどうこうってのはハッシュだけが漏洩してハッシュ化ロジックが漏洩してないという仮定の元の話ですよね？取られるときは根こそぎやられると思うけどなぁ

[cartman0]

徳丸先生の反論記事に期待

[isrc]

漏洩データの検索サービスを提供していたLeakedSourceが2016年9月、ソルトを採用していたサービスから漏洩した4350万件以上のアカウント情報を2時間で96％解析したとしている

[NOV1975]

ハッシュ化されたパスワードが手に入ったら手元で総当たり攻撃できるわけで、確実にリスクは高まっているよな。

[YarmUI]

だからといってハッシュ化しなくて良いわけでは無いぞ

[Palantir]

ハッシュが漏れてなかったら辞書攻撃に対して耐性あるの？ あれって総当たりの効率化って印象だったけども。 Saltが漏れたら確かに判別しやすくはあるけど、Saltってクライアントに伝える必要ないの？

[yarumato]

“重要情報を漏洩させた組織が、ハッシュ化したから安全と言うが、それは違う。解析しにくくする手法ソルトやストレッチングしても時間かければ元のパスワードを入手可能。逆引き表を使う。レインボーテーブル”

[masa8aurum]

ブコメで使われている言葉の意味が分からないので、学習する。

[uskey]

MCFというパスワードハッシュ文字列の共通フォーマットがあって、アルゴリズム・ソルト・ストレッチ回数・ハッシュが含まれている。ライブラリは大抵MCFでハッシュ文字列を出力するので、ソルトあるから大丈夫は誤り。

[dorje2009]

ソルトとストレッチングの適用有無を漏洩企業に確認すべきというのはその通りだと思う。アルゴリズムよりそっちが大事。「4350万件以上のアカウント情報を2時間で96％解析」ソルト付でそれはまずないでしょう

[dlive1]

不可逆な暗号化は、ハッシュ化を指す？すべての文字列に対する逆引き表を用意すると、データが膨大になり過ぎる。特殊な関数と「レインボーテーブル」と呼ぶDBを組み合わせ、データサイズを小さくして逆引きできる

[tsutsumi154]

しかしよりによってなぜMD5