ハッシュ値を作る際にユーザ名を混ぜ込む

2022/4/21 16:59:00

ソルトにユーザーIDを利用『よくある誤用 - ソルトの再利用 - Wikipedia』

『ハッシュとソルト、ストレッチングを正しく理解する本当は怖いパスワードの話』利用者ID 秘密情報 salt ソルトハッシュ値を作る際にユーザ名を混ぜ込むユーザーID

ソルトにユーザーIDを利用

2022/4/21 17:11:00

教科書などでは、ソルトに乱数を使っている実装をよく見かけますが、原理的には乱数である必要はありません。通常、ソルトはハッシュ値とともに保存するので、オフライン攻撃者にとってソルトは秘密情報ではありません。また、ある程度長さが確保できれば、ユーザーIDそのものをソルトにすることもできますが、ユーザーIDを後から変更できるサイトの場合は実装に工夫が必要になります。
── 『ハッシュとソルト、ストレッチングを正しく理解する本当は怖いパスワードの話』

メールアドレスのハッシュ化にメールアドレスを用いれば、メールアドレスをキーとして扱えるかもしれないハッシュ値を作る際にユーザ名を混ぜ込む

レインボーテーブル『ソルト (暗号) - Wikipedia』salt パスワードのハッシュ化ハッシュ値を作る際にユーザ名を混ぜ込む

『よくある誤用 - ソルトの再利用 - Wikipedia』

2022/4/21 16:51:00

プログラマがパスワードをハッシュ化する際に毎回同じソルトを使用するケース。この場合でも、既存のレインボーテーブルを無効化することはできる（ソルトの値が適切であれば）。ただし、広く使われている製品にソルトがハードコーディングされると、そこから抽出したソルトを使って新しいレインボーテーブルを生成できてしまう。また、ソルトが固定だと、パスワードが同じユーザーはハッシュ値も同じになってしまう（ハッシュ値を作る際にユーザ名を混ぜ込んでいる場合を除く）。これにより、一つのハッシュ値で複数のユーザーを攻撃するのが容易になってしまう。
── https://ja.wikipedia.org/wiki/ソルト_(暗号)#ソルトの再利用 2022年4月21日引用