アカウント名:
パスワード:
どうせハッシュ化するんだから何十文字でも受け付けろよ
ハッシュ化されたパスワードが漏洩した場合の安全性を保つために、高強度のストレッチングなどを行うと、長いパスワードでは膨大なCPU時間やメモリを消費してDoS状態になるんですよ。
例えば、パスワードのハッシュ化を目的とした関数 bcrypt (blowfish) は、最大72文字までしか対応していません。SHA-2にかけてから、bcryptにかけるなどすると、安全性が保証されません。あなたが暗号やハッシュの専門家でないならば、生兵法は大怪我のもと、素直にパスワードを72文字制限した方が安全です。
そもそも、普通のSHA-2を使えば良いって?高速ハッシュ関数をパスワードのハッシュ化に使うなんて脆弱ですよ。それだと、もし、ユーザが8文字のパスワードを指定したときなんてすぐにハッシュ化されたパスワードから復号されてしまうでしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
そもそもパスワードの文字数制限すんな (スコア:0)
どうせハッシュ化するんだから何十文字でも受け付けろよ
文字数制限しないサイトは脆弱 (スコア:0)
ハッシュ化されたパスワードが漏洩した場合の安全性を保つために、高強度のストレッチングなどを行うと、長いパスワードでは膨大なCPU時間やメモリを消費してDoS状態になるんですよ。
例えば、パスワードのハッシュ化を目的とした関数 bcrypt (blowfish) は、最大72文字までしか対応していません。
SHA-2にかけてから、bcryptにかけるなどすると、安全性が保証されません。
あなたが暗号やハッシュの専門家でないならば、生兵法は大怪我のもと、素直にパスワードを72文字制限した方が安全です。
そもそも、普通のSHA-2を使えば良いって?
高速ハッシュ関数をパスワードのハッシュ化に使うなんて脆弱ですよ。
それだと、もし、ユーザが8文字のパスワードを指定したときなんてすぐにハッシュ化されたパスワードから復号されてしまうでしょうね。