安全なパスワードの保存方法(PHP編)

公開日：2013年2月27日
最終更新日：2013年12月26日

以下の記事の内容を受け、PHP で salt(ソルト)を使用したパスワードと、salt にストレッチングを組み合わせたパスワードを取得する関数を作成しました。salt はユーザー ID をSHA256でハッシュ化したものです。推奨する方法は、salt にストレッチングを組み合わせたものです。

安全なパスワードの保存方法

<?php
define(‘STRETCH_COUNT’, 1000);

//文字列から SHA256 のハッシュ値を取得
function get_sha256($target) {
  return hash(‘sha256′, $target);
}

//salt＋ハッシュ化したパスワードを取得
function get_salted_password($password, $userId) {
  $salt = get_sha256($userId);
  return get_sha256($salt . $password);
}

//salt + ストレッチングしたパスワードを取得(推奨)
function get_stretched_password($password, $userId) {
  $salt = get_sha256($userId);
  $hash = ”;
  for ($i = 0; $i < STRETCH_COUNT; $i++) {
    $hash = get_sha256($hash . $salt . $password);
  }
  return $hash;
}
?>

<?php

define(‘STRETCH_COUNT’, 1000);

//文字列から SHA256 のハッシュ値を取得

function get_sha256($target) {

return hash(‘sha256′, $target);

}

//salt＋ハッシュ化したパスワードを取得

function get_salted_password($password, $userId) {

$salt = get_sha256($userId);

return get_sha256($salt . $password);

}

//salt + ストレッチングしたパスワードを取得(推奨)

function get_stretched_password($password, $userId) {

$salt = get_sha256($userId);

$hash = ”;

for ($i = 0; $i < STRETCH_COUNT; $i++) {

$hash = get_sha256($hash . $salt . $password);

}

return $hash;

}

« 安全なパスワードの保存方法(ASP.NET,C#,VB.NET編)

ASP.NET 2.0 からセッション ID の HttpOnly 属性が有効になっている »

カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー

関連記事

コメントを残す コメントをキャンセル

コメントを残すコメントをキャンセル