パスワードを保存するにはどうすればよいですか?

Question

JSF で新しいサイトをプログラミングしています。現時点では、ログインをプログラムしています。
私は数年前に md5 を使用しましたが、Rainbow Tables ではもう安全だと思います。
では、パスワードをデータベースに保存するにはどうすればよいでしょうか?

Answer 1

ここに優れた詳細なガイドがあります:https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2007/july/enough-with-the-rainbow-tables-what-you-need-to-know-about-安全なパスワードスキーム/

Answer 2

まず最初に、ベンダーが提供する構築済みシステムを探します。セキュリティコードを書いて生計を立てている人には、このことをできる限り押し付けたいと思うでしょう。なぜなら、手遅れになるまで気づかない微妙な方法で間違いを犯すのは非常に簡単だからです。こうすることで、サービスの更新情報も入手できるようになり、それについて考える必要がなくなります。

さらに、パスワードに合わせてアカウントごとのソルトを生成し、安全なハッシュ アルゴリズムを使用することを忘れないでください (md5 は速度を目的としたものであり、必ずしもセキュリティを目的としたものではありません)。SHA1 は非常に一般的ですが、これも古くなり始めています。

Answer 3

sha512 でハッシュし、ソルティングすることをお勧めします。(全員のランダムな値を保存し、パスワードとその値を一緒にハッシュします。)

Answer 4

PKCS#5 を調べると (あるいは、すでにそれを実行している評判の良い実装を見つけると)、非常に優れたメカニズムが見つかるでしょう。

基本的には、数字 (たとえば 500)、パスワード、ハッシュ アルゴリズム、ソルト (推測されにくくするためにパスワードの末尾に追加されるランダムなデータ) を選択します。

1. パスワードを取得し、ソルトを加えてハッシュします。
2. 結果を見て、それを塩（同じ塩）にして、それを持っています。
3. ステップ 2 を N 回繰り返します (この例では、N は 500)。
4. 最終的にハッシュされ、ソルト処理された結果を、N およびソルト自体とともにパスワード データベースに保存します。