安全なパスワード保存の業界標準: bcrypt アルゴリズム

安全なパスワード保存の業界標準: bcrypt アルゴリズム

パスワードを安全に保護するための標準アルゴリズムである bcrypt アルゴリズムについて説明します。わかりやすくするために、2 つの記事に分けて説明します。

  • bcrypt アルゴリズムについて説明し、PHP の crypt() アルゴリズムを通じてパラメータをさらに詳しく説明します。crypt() アルゴリズムはもはや推奨されていませんが、bcrypt アルゴリズムを理解するには依然として非常に役立ちます。その履歴を確認することができます。
  • システム内に複数の開発言語がある場合、bcrypt アルゴリズムは汎用的でしょうか? PHP と Ptyhon 言語を使用して記述してください。

この記事では主に bcrypt アルゴリズムについて説明します。bcrypt アルゴリズムは KDF 関数の実装と見なすことができ、反復係数の概念も備えています。

[[256502]]

bcrypt アルゴリズムは、Blowfish ブロック キー アルゴリズムに基づいています。bcrypt アルゴリズムには 10 年以上の歴史があり、Blowfish キー アルゴリズムには 20 年以上の歴史があります。テスト済みであるため、ハッシュ暗号化パスワードの標準アルゴリズムと見なされています。

bcrypt アルゴリズムは、ハッシュ プロセスを内部的に初期化するためにメモリを使用します。メモリが必要なため CPU 上では非常に高速に実行されますが、並列コンピューティング用の GPU 上では高速ではなく、攻撃者のクラッキング速度も低下します。

次に、PHP言語のcrypt()関数を使用して、bcryptアルゴリズムの使用方法を紹介します。ハッシュ保護パスワードについてあまり知らない場合、crypt()関数を使用するときに多くの問題が発生する可能性があります。

まず、crypt() 関数は bcrypt アルゴリズムではないことを明確にする必要があります。これは、さまざまなハッシュ アルゴリズムに基づくことができます。

この関数のプロトタイプは次のとおりです。

  1. 文字列 crypt ( 文字列 $str [, 文字列 $salt ] )

見た目はシンプルですが、多くのコンテンツが隠されています。

crypt() を呼び出すだけでは、オペレーティングシステムのバージョンと PHP のバージョンに応じて対応するハッシュアルゴリズムが使用され、salt が明示的に入力されていない場合は弱い salt が取得される可能性があります。したがって、多くの詳細が隠蔽されるため、この方法で crypt() 関数を呼び出すことは推奨されません。

では、bcrypt アルゴリズム (Blowfish)、反復係数、ソルトをどのように選択すればよいのでしょうか? 例を見てみましょう。

  1. (CRYPT_BLOWFISH == 1)の場合{
  2. echo 'Blowfish:' . crypt( 'abcde' , '$2a$07$woshiyigesaltzhi' ). "\n" ;
  3. }
  • bcrypt アルゴリズムの使用を示します (注: PHP 5.3.7 以降の場合は、セキュリティ リスクを修正するためにこれを使用します)。
  • 07 は反復回数が 7 回であることを意味します。
  • 最後の $ の後の内容がソルト値です。

次に、上記のコードの出力を見てみましょう。

  1. フグ:$2a$07$woshiyigesaltzhi$$$$$.lrU488y7E1Xw.JA4uizIu.PBSSe7t4y

つまり、戻り値には、bcrypt アルゴリズムが使用されていること、反復係数が 7 であること、ソルトが woshiyigesaltzhi$$$$$ であること、残りがパスワードの暗号文であることなど、crypt() 関数に関連する情報が含まれています。

ここで疑問が残ります。crypt() によって計算されたパスワード暗号文に salt が含まれていると安全ではないのでしょうか? これについては次の記事で説明します。

crypt() は次のような他のハッシュ関数も使用できます。

  • CRYPT_MD5:
  • CRYPT_BLOWFISH: または
  • 暗号化:
  • 暗号化:

crpyt() 関数の使い方はおそらく誰でも理解していると思いますが、使い方が少し面倒な場合もあるため、関数をパッケージ化することをお勧めします。

  1. 関数better_crypt($input, $rounds = 7) {
  2. $salt = openssl_random_pseudo_bytes(22);
  3. crypt($input, sprintf( '$2a$%02d$' , $rounds) . $salt);を返します
  4. }

いずれにしても、crypt() 関数は完全に基礎となる C 関数に基づいており、動作環境もオペレーティング システムと PHP のバージョンに依存します。システムとコードを移行する際には多くの問題が発生する可能性があるため、PHP ではバージョン 5.5 以降、パスワード ハッシュ関数の使用を推奨しています。これについては次の記事で詳しく説明します。

最後に、新しいパスワード保護アルゴリズムと別のアプローチである scrypt アルゴリズムについて簡単に説明します。これはパスワード保護の業界標準アルゴリズムと見なされていますが、時間が短いため、bcrypt() アルゴリズムを使用することをお勧めします。

<<:  AIが指紋を偽造できる場合、生体認証は依然として安全ですか?

>>:  「知的障害ロボット」が解雇に直面

ブログ    

推薦する

コードを書けるAIがオープンソース化! Codex よりも優れた C 言語を書き、12 のプログラミング言語をマスターする

Codex よりも優れた C 言語を記述できる AI コード生成モデルがオープンソース化されました。...

人工知能は本当に人間の仕事を置き換えるのでしょうか?

今年に入ってから、新型コロナウイルス感染症の継続的な感染拡大により世界的に景気が低迷し、多くの国や地...

キングソフトAIラボが最初の実装計画を発表、AIの最も難しい部分を選択した

[[255298]] 「2014年に私は、30年前に設立されたKingsoft WPSは雷軍によって...

人工知能と教育が出会うと、どのような火花が生まれるのでしょうか?

[[249507]]過去 1 か月間の教育業界のホットなキーワードを本当に選ぶとしたら、それは間違...

自然:機械が人間の言語の出現を促進する

今週ネイチャー誌に掲載された科学報告で、研究者らはロボットが人間の言語の生成を促進できることを発見し...

PyTorch と NumPy の徹底比較! ! !

こんにちは、Xiaozhuangです! pytorch のコンテンツを更新するように多くの人から促さ...

...

収集する価値のあるAIツールメモ8つ

緊急時のメモとしても使える、コレクションする価値のあるAI写真を8枚シェアします。最初の RTF フ...

Apple M3全シリーズのランニングスコアを公開! 16コアのMaxが24コアのM2 Ultraを上回り、IntelとAMDの主力CPUと並ぶ

Appleの記者会見を受けて、M3シリーズチップは新しいMac製品とともについに実用化されることにな...

このAIは、監視カメラを素早く検索し、重要なシーンを見つけ、24時間のビデオを10分で処理するのに役立ちます。

1月23日のニュース、今日では、ビデオ監視の存在により、過去には検証が困難だった多くの事実を記録す...

自然言語処理に加えて、単語埋め込み(Word2Vec)を使用してこれを行うこともできます。

機械学習の手法を使用して問題を解決する場合、適切なデータを持つことが重要です。残念ながら、生データは...

ブロックチェーンと人工知能の関係は何ですか?ブロックチェーンは人工知能に影響を与えることができるか?

ブロックチェーンと人工知能の関係は何ですか?ブロックチェーンは人工知能に影響を与えることができるか?...

GPT-4 は AGI のきっかけとなるだけでしょうか? LLMは最終的に廃止され、世界モデルが未来となる

人間の認知においては、汎用人工知能(AGI)を人工知能の究極の形、およびその開発の究極の目標として設...

...