公開日:2013年2月27日
最終更新日:2013年12月26日
最終更新日:2013年12月26日
安全なパスワードの保存方法(Java編)
以下の記事の内容を受け、Java で salt(ソルト)を使用したパスワードと、salt にストレッチングを組み合わせたパスワードを取得するクラスを作成しました。salt はユーザー ID をSHA256でハッシュ化したものです。推奨する方法は、salt にストレッチングを組み合わせたものです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 |
import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class SafePassword { private static int STRETCH_COUNT = 1000; /* * salt+ハッシュ化したパスワードを取得 */ public static String getSaltedPassword(String password, String userId) { String salt = getSha256(userId); return getSha256(salt + password); } /* * salt + ストレッチングしたパスワードを取得(推奨) */ public static String getStretchedPassword(String password, String userId) { String salt = getSha256(userId); String hash = “”; for (int i = 0; i < STRETCH_COUNT; i++) { hash = getSha256(hash + salt + password); } return hash; } /* * 文字列から SHA256 のハッシュ値を取得 */ private static String getSha256(String target) { MessageDigest md = null; StringBuffer buf = new StringBuffer(); try { md = MessageDigest.getInstance(“SHA-256″); md.update(target.getBytes()); byte[] digest = md.digest(); for (int i = 0; i < digest.length; i++) { buf.append(String.format(“%02x”, digest[i])); } } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } return buf.toString(); } } |
スポンサーリンク
カテゴリー:Webアプリケーションセキュリティ
Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー
コメントを残す