7-8その他のセキュリティTips471 パスワードをハッシュ化する

Level1

SQLインジェクションなどによりデータベースに格納されている情報が盗み出された場合に備えて、データベースに格納するパスワードは、ハッシュ化しておくことがセキュリティ上好ましいと言えます。

しかし、単純にハッシュ化するだけでは、対策として現実的には不十分です。ハッシュ値の解読技術が進んでいるため、現実的な時間（数時間、数日など）でパスワードが解読されてしまう場合もあります。解読技術とともにコンピュータの処理性能も向上しているため、単純なブルートフォース(総当り)でも、現実的な時間で解読可能です。

パスワードハッシュを強化するための方法として、繰り返しハッシュ化を行う方法があります。これをストレッチングといいます。

ここではハッシュ化を手軽に行うための、phpassというPublic Domainライセンスのライブラリを紹介します。

まずは、インスタンスを生成します。

$hasher = 
new PasswordHash(8, $is_portal);