パスワードを安全に保護するための標準アルゴリズムである bcrypt アルゴリズムについて説明します。わかりやすくするために、2 つの記事に分けて説明します。
この記事では主に bcrypt アルゴリズムについて説明します。bcrypt アルゴリズムは KDF 関数の実装と見なすことができ、反復係数の概念も備えています。
bcrypt アルゴリズムは、Blowfish ブロック キー アルゴリズムに基づいています。bcrypt アルゴリズムには 10 年以上の歴史があり、Blowfish キー アルゴリズムには 20 年以上の歴史があります。テスト済みであるため、ハッシュ暗号化パスワードの標準アルゴリズムと見なされています。 bcrypt アルゴリズムは、ハッシュ プロセスを内部的に初期化するためにメモリを使用します。メモリが必要なため CPU 上では非常に高速に実行されますが、並列コンピューティング用の GPU 上では高速ではなく、攻撃者のクラッキング速度も低下します。 次に、PHP言語のcrypt()関数を使用して、bcryptアルゴリズムの使用方法を紹介します。ハッシュ保護パスワードについてあまり知らない場合、crypt()関数を使用するときに多くの問題が発生する可能性があります。 まず、crypt() 関数は bcrypt アルゴリズムではないことを明確にする必要があります。これは、さまざまなハッシュ アルゴリズムに基づくことができます。 この関数のプロトタイプは次のとおりです。
見た目はシンプルですが、多くのコンテンツが隠されています。 crypt() を呼び出すだけでは、オペレーティングシステムのバージョンと PHP のバージョンに応じて対応するハッシュアルゴリズムが使用され、salt が明示的に入力されていない場合は弱い salt が取得される可能性があります。したがって、多くの詳細が隠蔽されるため、この方法で crypt() 関数を呼び出すことは推奨されません。 では、bcrypt アルゴリズム (Blowfish)、反復係数、ソルトをどのように選択すればよいのでしょうか? 例を見てみましょう。
次に、上記のコードの出力を見てみましょう。
つまり、戻り値には、bcrypt アルゴリズムが使用されていること、反復係数が 7 であること、ソルトが woshiyigesaltzhi$$$$$ であること、残りがパスワードの暗号文であることなど、crypt() 関数に関連する情報が含まれています。 ここで疑問が残ります。crypt() によって計算されたパスワード暗号文に salt が含まれていると安全ではないのでしょうか? これについては次の記事で説明します。 crypt() は次のような他のハッシュ関数も使用できます。
crpyt() 関数の使い方はおそらく誰でも理解していると思いますが、使い方が少し面倒な場合もあるため、関数をパッケージ化することをお勧めします。
いずれにしても、crypt() 関数は完全に基礎となる C 関数に基づいており、動作環境もオペレーティング システムと PHP のバージョンに依存します。システムとコードを移行する際には多くの問題が発生する可能性があるため、PHP ではバージョン 5.5 以降、パスワード ハッシュ関数の使用を推奨しています。これについては次の記事で詳しく説明します。 最後に、新しいパスワード保護アルゴリズムと別のアプローチである scrypt アルゴリズムについて簡単に説明します。これはパスワード保護の業界標準アルゴリズムと見なされていますが、時間が短いため、bcrypt() アルゴリズムを使用することをお勧めします。 |
<<: AIが指紋を偽造できる場合、生体認証は依然として安全ですか?
Codex よりも優れた C 言語を記述できる AI コード生成モデルがオープンソース化されました。...
今年に入ってから、新型コロナウイルス感染症の継続的な感染拡大により世界的に景気が低迷し、多くの国や地...
[[255298]] 「2014年に私は、30年前に設立されたKingsoft WPSは雷軍によって...
[[249507]]過去 1 か月間の教育業界のホットなキーワードを本当に選ぶとしたら、それは間違...
今週ネイチャー誌に掲載された科学報告で、研究者らはロボットが人間の言語の生成を促進できることを発見し...
こんにちは、Xiaozhuangです! pytorch のコンテンツを更新するように多くの人から促さ...
緊急時のメモとしても使える、コレクションする価値のあるAI写真を8枚シェアします。最初の RTF フ...
Appleの記者会見を受けて、M3シリーズチップは新しいMac製品とともについに実用化されることにな...
1月23日のニュース、今日では、ビデオ監視の存在により、過去には検証が困難だった多くの事実を記録す...
機械学習の手法を使用して問題を解決する場合、適切なデータを持つことが重要です。残念ながら、生データは...
ブロックチェーンと人工知能の関係は何ですか?ブロックチェーンは人工知能に影響を与えることができるか?...
Bing Chat のリリースから 6 か月後の 8 月 8 日、Microsoft Bing チー...
人間の認知においては、汎用人工知能(AGI)を人工知能の究極の形、およびその開発の究極の目標として設...