7-8その他のセキュリティTips471 パスワードをハッシュ化する
Level1
Pointphpass等のライブラリを利用し、繰り返しパスワードをハッシュ化する
SQLインジェクションなどによりデータベースに格納されている情報が盗み出された場合に備えて、データベースに格納するパスワードは、ハッシュ化しておくことがセキュリティ上好ましいと言えます。
しかし、単純にハッシュ化するだけでは、対策として現実的には不十分です。ハッシュ値の解読技術が進んでいるため、現実的な時間(数時間、数日など)でパスワードが解読されてしまう場合もあります。解読技術とともにコンピュータの処理性能も向上しているため、単純なブルートフォース(総当り)でも、現実的な時間で解読可能です。
パスワードハッシュを強化するための方法として、繰り返しハッシュ化を行う方法があります。これをストレッチングといいます。
ここではハッシュ化を手軽に行うための、phpassというPublic Domainライセンスのライブラリを紹介します。
まずは、インスタンスを生成します。
$hasher =
new PasswordHash(8, $is_portal);
この記事は会員限定です。会員登録をすると続きをお読みいただけます。
ログイン / 新規登録