SHA1 vs md5 vs SHA256：PHPログインに使用するものは？

私はphpログインを作成しています。別のstackoverflow記事で説明したSHA1またはMd5、またはSHA256を使用するかどうかを決定しようとしています。それらのどれかが他のものより安全ですか？SHA1 / 256の場合、引き続きソルトを使用しますか？

また、これはパスワードをハッシュとしてmysqlに保存する安全な方法ですか？

function createSalt()
{
    $string = md5(uniqid(rand(), true));
    return substr($string, 0, 3);
}

$salt = createSalt();

$hash = sha1($salt . $hash);

どちらでもない。使用する必要がありますbcrypt。あなたが言及するハッシュはすべて、ハードウェアで迅速かつ簡単になるように最適化されているため、それらをクラックすることは同じ品質を共有します。他に選択肢がない場合は、少なくとも長いソルトを使用し、複数回ハッシュし直してください。

PHP 5.5以降でのbcryptの使用

PHP 5.5は、パスワードハッシュのための新機能を提供します。これは、最新のWebアプリケーションでのパスワードストレージの推奨アプローチです。

// Creating a hash
$hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);
// If you omit the ['cost' => 12] part, it will default to 10

// Verifying the password against the stored hash  
if (password_verify($password, $hash)) {
    // Success! Log the user in here.
}

古いバージョンのPHP を使用している場合は、本当にアップグレードする必要がありますが、使用するまでは、password_compatを使用してこのAPIを公開できます。

また、password_hash()塩を生成させてください。CSPRNGを使用します。

bcryptの2つの警告

1. Bcryptは、72文字を超えるパスワードを警告なしに切り捨てます。
2. BcryptはNUL文字の後に切り捨てます。

（ここにある両方の警告の概念実証）。

bcryptを実行する前にパスワードを事前にハッシュして最初の警告を解決したくなるかもしれませんが、そうするとアプリケーションが2番目に実行される可能性があります。

独自のスキームを作成する代わりに、セキュリティの専門家によって作成または評価された既存のライブラリを使用してください。

• Zend\Crypt （Zend Frameworkの一部）オファー BcryptSha
• PasswordLockに似てBcryptShaいますが、認証された暗号化ライブラリを使用してbcryptハッシュも暗号化します。

TL; DR - bcryptを使用します。

md5、sha256、または速度を最適化したハッシュを使用することは完全に問題なく、他のユーザーの反論を聞いて非常に興味があると思います。ここに私の理由があります

1. ユーザーが、その後何も、あなたはまだユーザーはハッシュとこれらのパスワードは、多くの場合、最初に使用されていないパスワードを入力することができます暗号化をかまいので、これはされて、このような神、愛、戦争、平和などの弱いパスワードを使用しないでできるようにする場合は、NOT行きます暗号化とは何か関係があります。

2. SSLを使用していない場合や証明書がない場合は、トラフィックをリッスンする攻撃者がパスワードを引き出すことができ、JavaScriptなどで暗号化しようとすると、クライアント側で簡単に解読され、克服されます。繰り返しますが、これはサーバー側のデータ暗号化とは関係ありません。

3. ブルートフォース攻撃は弱いパスワードを利用します。ログイン制限が3または少しでもない場合、ユーザーがデータを入力できるようになるため、問題はデータの暗号化とは何の関係もありません。

4. データベースが危険にさらされた場合、可能性の高い暗号化方法に関係なく、ハッシュ技術を含むすべてのものが危険にさらされています。繰り返しになりますが、これは不満を持つ従業員のXSS攻撃、SQLインジェクション、またはパスワードの暗号化とは関係のない他の攻撃である可能性があります。

私はあなたがまだ暗号化すべきだと信じていますが、暗号化ができることは、すでにまたは何らかの方法でデータベースへのアクセス権を持っている人がパスワードを読み上げるのを防ぐことだけです。暗号化されたパスワードがクレジットカード番号を含むすべてを保護していると彼らが思っているので、ソニーがそれをした理由は、データベースで許可されていない誰かである場合、それを心配する大きな問題があります。

データベース内のパスワードの複雑な暗号化に対して私が見ることができる唯一の純粋な利点は、データベースにアクセスできる従業員または他の人々がパスワードを読み取るだけから遅らせることです。したがって、それが小規模なプロジェクトである場合、サーバー側のセキュリティについてそれほど心配する必要はありませんが、代わりに、SQLインジェクション、XSS攻撃、その他の大量の方法など、クライアントがサーバーに送信する可能性のあるすべてのセキュリティを確保することについて心配します。侵害される可能性があります。誰かが同意しない場合は、クライアント側からのスーパー暗号化パスワードが必須である方法を読むのを楽しみにしています。

私がこれを試みて明確にしたかった理由は、暗号化されたパスワードが侵害されることを心配する必要がなく、Webサイトのセキュリティを心配する必要がなくなることを信じる人が多すぎるためです。

Johannes Gorsetが指摘したように、Matasano SecurityのThomas Ptacekによる投稿では、MD5、SHA1、SHA256、SHA512などの単純な汎用ハッシュ関数がパスワードハッシュの選択肢として不適切である理由が説明されています。

どうして？最近のコンピューターでは、コアごとに少なくとも1,000,000 MD5ハッシュを計算できるため、速度が速すぎます。そのため、ユーザーが使用するほとんどのパスワードに対してブルートフォースが実行可能です。そして、それはGPUベースのクラッキングサーバークラスターよりもはるかに少ないです！

キーストレッチなしのソルティングは、レインボーテーブルを事前に計算できないことを意味します。特定のソルトに合わせてアドホックで構築する必要があります。しかし、それは実際にはそれほど難しくありません。

ユーザー@Willさんのコメント：

誰もがインターネットを介してハッキングされる可能性があるように、これについて話しています。すでに述べたように、試行を制限すると、インターネットを介してパスワードを解読することが不可能になり、ハッシュとは何の関係もありません。

彼らはする必要はありません。明らかに、LinkedInの場合、彼らは一般的なSQLインジェクションの脆弱性を使用してログインDBテーブルを取得し、数百万のパスワードをオフラインでクラックしました。

次に、オフラインの攻撃シナリオに戻ります。

データベース全体が危険にさらされ、ハッカーがmd5ハッシュに対して毎秒1億回のパスワード試行を実行できる場合、セキュリティが実際に機能します。SHA512は約10,000倍遅くなります。

いいえ、SHA512はMD5よりも10000倍遅いわけではなく、約2倍しかかかりません。一方、Crypt / SHA512は非常に異なる獣であり、対応するBCryptと同様に、キーストレッチを実行し、組み込みのランダムソルトで非常に異なるハッシュを生成し、計算に500〜999999倍の時間を要します。 （ストレッチは調整可能です）。

SHA512 => aaf4c61ddcc5e8a2dabede0f3b482cd9aea9434d
Crypt/SHA512 => $6$rounds=5000$usesomesillystri$D4IrlXatmP7rx3P3InaxBeoomnAihCKRVQP22JZ6EY47Wc6BkroIuUUBOov1i.S5KPgErtP/EN5mcO.ChWQW21

したがって、PHPの選択は、Crypt / Blowfish（BCrypt）、Crypt / SHA256、またはCrypt / SHA512のいずれかです。または、少なくともCrypt / MD5（PHK）。www.php.net/manual/en/function.crypt.phpを参照してください

を使用しSHA256ます。SHA512高速ハッシュに理想的であるように、それは完璧ではありませんが、オプションの中で、それは確実な選択です。ハッシュ技術と同様に、セキュリティを高めるためにハッシュをソルトするようにしてください。

追加のメモとして、FRKT、誰かがソルトされたSHA256ハッシュを簡単にクラックできる場所を教えてください。これを見て本当に興味があります。

重要な編集：

今後bcryptは、強化ハッシュとして使用してください。詳細については、こちらをご覧ください。

塩漬けに関する編集：

乱数、またはランダムバイトストリームなどを使用します。データベース内のレコードの一意のフィールドをソルトとして使用することもできます。これにより、ソルトはユーザーごとに異なります。

欠けているように見えるのは、ハッカーがデータベースにアクセスできる場合、パスワードをハッシュするphpファイルにもアクセスでき、それを変更してすべての成功したユーザー名とパスワードの組み合わせを送信できることです。彼がWebディレクトリにアクセスできない場合は、常にパスワードを選択してハッシュし、それをデータベースに書き込むことができます。つまり、ハッシュアルゴリズムはシステムセキュリティほど重要ではなく、SSLを使用しない場合でもログイン試行を制限すると、攻撃者は接続をリッスンして情報を取得することができます。（独自の目的で）アルゴリズムの計算に長い時間がかかる場合を除き、ユーザー固有のソルトを使用したSHA-256またはSHA-512で十分です。

追加のセキュリティ対策として、スクリプト（bash、batch、pythonなど）またはプログラムを設定し、あいまいな名前を付けて、login.phpが変更されているかどうかを確認して（日付/タイムスタンプを確認）、メールを送信します。持っている場合。また、おそらくログイン時に管理者権限ですべての試行をログに記録し、データベースへのログインに失敗したすべての試行をログに記録し、ログを電子メールで送信する必要があります。

誰もがインターネットを介してハッキングされる可能性があるように、これについて話しています。すでに述べたように、試行を制限すると、インターネットを介してパスワードを解読することが不可能になり、ハッシュとは何の関係もありません。

塩は必須ですが、複雑さや複数の塩は問題になりません。塩だけで、攻撃者は既製のレインボーテーブルを使用できなくなります。ユーザーごとに固有のソルトは、攻撃者がユーザーベース全体に対して使用する新しいレインボーテーブルを作成するのを防ぎます。

データベース全体が危険にさらされ、ハッカーがmd5ハッシュに対して毎秒1億回のパスワード試行を実行できる場合、セキュリティが実際に機能します。SHA512は約10,000倍遅くなります。今日の能力を備えた複雑なパスワードは、md5で総当たりするのに100年かかり、SHA512の場合は10,000倍の時間がかかります。塩は常に知られている必要があるため、ブルートフォースを完全に停止することはありません。攻撃者がデータベースをダウンロードした場合、彼はおそらくあなたのシステムにいたはずです。

衝突の問題のため、MD5は良くありません。2つの異なるパスワードが同じmd-5を生成している可能性があります。

これはSha-1で十分安全です。塩漬けのsha-1バージョンのパスワードを保存する理由は、他の人のサーバーで使用している可能性があるため、管理者がユーザーのapasswordをファイルに保存しないようにするためです。それ以外の場合、どのような違いがありますか？

ハッカーが暗号化されていないデータベース全体を何らかの方法で盗んだ場合、ハッシュ化されたソルトパスワードは、ユーザーが将来のサインオンのために偽装するのを防ぐだけです-ハッカーはすでにデータを持っています。

ユーザーが入力したものが単純なパスワードである場合、攻撃者はハッシュ値を使用することでどのようなメリットがありますか？

そして、将来の技術を備えたハッカーがブルートフォース攻撃で毎秒100万のsha-1キーを生成する可能性があるとしても、ハッカーがキーをテストするためにサーバーが毎秒100万回のログオンを処理するでしょうか。これは、ハッカーに通常のログオンのようなパスワードではなく、salt付きのsha-1を使用してログオンさせようとしている場合です。

最善の策は、不正なログオン試行を適切な数（25など）に制限してから、ユーザーを1〜2分タイムアウトにすることです。また、badyログオンの累積試行回数が24時間以内に250に達した場合は、アカウントアクセスをシャットダウンし、所有者に電子メールを送信します。

MD5とSHA1の比較を次に示します。あなたはどちらが良いかについての明確なアイデアを得ることができます。

argon2iを使用します。argon2パスワードのハッシュ関数は、パスワードのハッシュ競争を獲得しました。

Argon2を使用できない場合のその他の合理的な選択肢は、scrypt、bcrypt、およびPBKDF2です。ウィキペディアには、これらの機能のページがあります。

• https://en.wikipedia.org/wiki/Argon2
• http://en.wikipedia.org/wiki/Scrypt
• http://en.wikipedia.org/wiki/Bcrypt
• http://en.wikipedia.org/wiki/PBKDF2

MD5、SHA1、SHA256はメッセージダイジェストであり、パスワードハッシュ機能ではありません。この目的には適していません。

MD5からSHA1またはSHA512に切り替えても、構造のセキュリティはそれほど向上しません。SHA256またはSHA512ハッシュの計算は非常に高速です。一般的なハードウェアを使用する攻撃者は、1秒あたり数千万（単一のCPUを使用）または数十億（単一のGPUを使用）のハッシュを試行する可能性があります。適切なパスワードハッシュ関数には、辞書攻撃を遅くするための作業要素が含まれます。

PHPプログラマへの提案は次のとおりです。PHPFAQを読んでから、password_hash（）を使用してください。

次の点を想定してみましょう。ハッカーはユーザーとパスワード（暗号化）を含むデータベースを盗みます。そして、ハッカーは自分が知っているパスワードで偽のアカウントを作成しました。

MD5は脆弱で、MD5は短くて人気があり、事実上すべてのパスワードなしのハッシュ生成は辞書攻撃に弱くなっています。だが..

したがって、SALTでまだMD5を使用しているとしましょう。ハッカーはSALTを知りませんが、特定のユーザーのパスワードを知っています。したがって、彼らはテストできます：????? 12345ここで、12345は既知のパスワードで、????? 塩です。ハッカーは遅かれ早かれSALTを推測できます。

ただし、MD5 + SALTを使用してMD5を適用した場合、情報を回復する方法はありません。ただし、繰り返しますが、MD5はまだ短いです。

たとえば、パスワードが12345だとします。SALTはビルクリントンです。

md5：827ccb0eea8a706c4c34a16891f84e7b

ハッシュ付きmd5：56adb0f19ac0fb50194c312d49b15378

md5上のハッシュを含むmD5：28a03c0bc950decdd9ee362907d1798aこれらのオンラインサービスを使用しようとしたところ、解読できるものが見つかりませんでした。そして、その唯一のMD5！（今日のようになるかもしれませんが、md5をオンラインで生成したため、クラック可能になります）

やりすぎたい場合は、SHA256をソルトと2回適用すると十分です。

tldr MD5（HASH + MD5（password））=わかりましたが、SHA256で十分です。

md5暗号化は最悪の1つです。コードをオンにする必要があり、すでに復号化されているためです。SHA256をお勧めします。私は少し長くプログラミングしていて、良い経験をしました。以下も暗号化されます。

password_hash() example using Argon2i

<?php
echo 'Argon2i hash: ' . password_hash('rasmuslerdorf', PASSWORD_ARGON2I);
?>
The above example will output something similar to:

Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0