会社のハッシュ実装を見ているのに、rootユーザーのパスワードがbase64でエンコードされて保存されていることを確認しました。誰かが単にパスワードをコピーしてbase64 -dするのをどのようにブロックしますか?それとも別のBase64パスワードで同じことをした人はいますか?
ここで何か抜けましたか?
ベストアンサー1
ハッシュはエンコードではなく、元に戻せない数学的な変換です。元の値を見つけるためにハッシュを取って計算を逆にすることはできません。ハッシュが一致することを確認するためにパスワードを試してハッシュして、ハッシュを無差別に代入しようとすることができます。
パスワードは通常、Base64でエンコードされたソルト処理されたパスワードハッシュとして保存されます。ハッシュ部分はパスワードを回復できません(ソルト部分は、事前に生成されたハッシュリストが役に立たないことを意味します)。理想的には、ハッシュ自体は長い計算を使用するので、無差別代入はより高価です。 (ユーザーが提供したパスワードが有効であることを確認するためにハッシュだけを実行すればよいので、名目上の場合はハッシュ費用は気にしません。) 。
詳細については、次を参照してください。パスワードを安全にハッシュする方法は?