パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」」記事へのコメント

  • 全ユーザ強制パスワード変更にするしかないの?
    自ら「SHA-1使ってま〜す!」って言ってるようなものだけどね

    • PHP Manual: パスワードのハッシュ [php.net] より引用(太字強調は引用者)

      MD5 や SHA1 そして SHA256 といったハッシュアルゴリズムは、 高速かつ効率的なハッシュ処理のために設計されたものです。 最近のテクノロジーやハードウェア性能をもってすれば、 これらのアルゴリズムの出力をブルートフォースで(力ずくで)調べて元の入力を得るのはたやすいことです。

      最近のコンピュータではハッシュアルゴリズムを高速に「逆算」できるので、 セキュリティ技術者の多くはこれらの関数をパスワードのハッシュに使わないよう強く推奨しています。

      SHA のような fast hash

      • by Anonymous Coward on 2017年02月26日 16時46分 (#3167540)

        PHPのpassword_hashってインターフェイスを統一するための単なるラッパーじゃない? と思って
        少し調べてみました。

        一番気になるのは、異なるアルゴリズムでハッシュ化されたパスワードが混在してもうまく扱えるのか、
        でしたが、ハッシュにはどのアルゴリズムか等の情報も含まれているとのこと。password_verifyの説明を
        見て理解しました。

        「password_」で始まる命令 [php.net]をひととおり見ておくとよいと思います。

        親コメント

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...