パスワード認証でのパスワード管理のしかたを調べた。
パスワードはハッシュ値にしてDB(データベース)に保存して管理し、認証の時には、入力されたパスワードをハッシュ値にしてDBのハッシュ値と一致するか
と言うことをするのが一般的なよう。
なぜそんなことをするかというと、「もしDBのデータが漏洩したとしてもパスワードは死守するため」。
死守するためには他にも ソルト を付加するとか ストレッチング をするとか言う工夫をしているそう。
ソフト開発屋のノート的ブログ
パスワード認証でのパスワード管理のしかたを調べた。
パスワードはハッシュ値にしてDB(データベース)に保存して管理し、認証の時には、入力されたパスワードをハッシュ値にしてDBのハッシュ値と一致するか
と言うことをするのが一般的なよう。
なぜそんなことをするかというと、「もしDBのデータが漏洩したとしてもパスワードは死守するため」。
死守するためには他にも ソルト を付加するとか ストレッチング をするとか言う工夫をしているそう。