人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

顧客管理をするサーバー構築に関する質問です。ユーザーから得たパスワードを、DB上どのように保存していますか? 1)MD5などのハッシュだけ保存している(=本体は復活できない) 2)対象鍵などで暗号化して保存している(=本体を復元可能) などあると思いますが、その得失対照を教えてください。外部サイトへの参照でもOKです。

●質問者: strongaxe
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:md5 サイト サーバー ハッシュ パスワード
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

[1]ハッシュだけ b-wind

仕様上特に指定されなければ。

ただし MD5 は最近だと弱いので sha1 か sha256 辺りで。


得失対照って何か良く分からんけど、メリットデメリットはご自身の認識されている通りでは?

本体は復活できない・本体を復元可能


[2]>1 どうもです strongaxe

どうもです。じつはその「復元可能にしておくことに、意味があるか?」という点が気になっています。

パスワードを忘れた人に対しては、新規パスワード発行を行うことが普通です。なので昔のパスワードを復元可能にしておく必要はない、という立場もあると思います。

いっぽうで、なにかの時にパスワードが必要になるかもしれない、そういう事態が発生するかもしれない、という立場もあります。

後者の「なにかの時」を、具体的にこう、と言ってもらえないかというのが質問の意図です。(職場での同僚との議論で「パスワードは復元可能にすべきか」という論点が出たのですが、可能にすべき派の具体例がなかったので...)


[3]>2 ない studioes

通常のシステムにおいてパスワードを復元可能にする必要は一切ありません。

平文で保存するのはシステム負荷が軽減できるというメリットはありますが・・・ 復号可能な暗号の場合は、鍵が大きくなり、処理が重くなるデメリットがある上に、システム上復元可能ならば、その鍵が漏れたときに平文と変わらなくなってしまって全く意味が無いですね。

もし、パスワードが役に立つとすれば、他のシステムでも同一のパスワードを利用しているときに、そのシステムのパスワードが復号できれば、全てのシステムでパスワードリセットを行わずとも利用できると言う点でしょうか?

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ