パスワードを管理する時に気にした方がいいあれこれ
TRANSCRIPT
パスワードを管理するときに気にした方がいいあれこれ
2015/07/14 @toku_toku3
はなすこと
• イケてないPW管理の例
• SALTについて
• ハッシュ関数について
イケてないPW管理の例
イケてないPW管理の例
• 平文で保存している
• 復号できるようにしている
• 「パスワードを忘れたとき」の処理で元のPWをメールで送信している
どうして誰も止めなかった
イケてる
• 平文で保存しない
• 復号できるようにしない(ハッシュを使う)
• 「パスワードを忘れたとき」は仮パスワードを発効してメールで通知する
SALTについて
SALTとは
• /sˈɔːlt/【不可算名詞】 塩,食塩.
SALTとは
• PWに付与するランダムな文字列
• 生成する暗号化文字列、ハッシュ値をよりセキュアにする
塩を振らないことで生じる弊害
• MD5 database使って辞書攻撃やレインボーアタックされると耐えられない(かも)
• 情報が流出しても連鎖被害が起き辛い
• ※総当たり攻撃には耐えられない
ハッシュ関数について
ハッシュ関数
• MD5
• SHA-1
• SHA-2
MD5
• 5秒で解析できるので使うな
SHA-1
• 現在Webで使われている証明書の約90%はこれつかわれてる
SHA-2
• 今はこれを使おう
ご清聴ありがとうございました。