ハッシュ化

2022/3/27 15:06:00

Passport.jsのLocalStrategyで利用者名と暗証語を認証するコードパスワードをハッシュ化ハッシュ化したパスワードメールアドレスもハッシュ化パスワードのハッシュ化あれ

パスワードハッシュ化

ハッシュ化したパスワード

2022/4/24 18:09:00

Node.jsのBufferの比較

パスワードハッシュ化パスワードのハッシュ化

パスワードをハッシュ化

2022/3/27 15:08:00

あれパスワードのハッシュ化

パスワードをハッシュ化パスワードハッシュ化

パスワードのハッシュ化

2022/4/21 16:57:00

『よくある誤用 - ソルトの再利用 - Wikipedia』パスワードをハッシュ化

暗証語ハッシュ化『Username & Password Tutorial: Verify Password』LocalStrategy crypto.pbkdf2 コールバック関数 sha256 crypto.timingSafeEqual 認証利用者名 Passport.js

Passport.jsのLocalStrategyで利用者名と暗証語を認証するコード

2022/4/20 17:32:00

passport.use(new LocalStrategy(function verify(username, password, cb) {
  db.get('SELECT rowid AS id, * FROM users WHERE username = ?', [ username ], function(err, row) {
    if (err) { return cb(err); }
    if (!row) { return cb(null, false, { message: 'Incorrect username or password.' }); }

    crypto.pbkdf2(password, row.salt, 310000, 32, 'sha256', function(err, hashedPassword) {
      if (err) { return cb(err); }
      if (!crypto.timingSafeEqual(row.hashed_password, hashedPassword)) {
        return cb(null, false, { message: 'Incorrect username or password.' });
      }
      return cb(null, row);
    });
  });
}));

『Username & Password Tutorial: Verify Password』より

何をしているコードか

dbから与えられた利用者名と一致する利用者情報（利用者名, ハッシュ化された暗証語）を取り出す。
与えられた暗証語をcrypto.pbkdf2でsha256にハッシュ化する。
crypto.timingSafeEqualで1.と2.で得られたハッシュ化された暗証語を比較し、一致していれば利用者情報をcallback関数(cb)で返す

あれ utilライブラリのpromisify使うとasync/await使えるから便利

ハッシュ化 PKMSのセキュリティを低廉化メールアドレス 2022年3月27日　散歩メモ

メールアドレスもハッシュ化

2022/3/27 15:07:00

あれあれメールアドレスのハッシュ化に乱数のSALTを用いると、メールアドレスをキーとして扱えないたしかに!!メールアドレスのハッシュ化にメールアドレスを用いれば、メールアドレスをキーとして扱えるかもしれないあれ

メールアドレスもハッシュ化気になったパスワードハッシュ化平文

あれ

2022/3/27 15:48:00

　パスワードは後生大事にハッシュ化しているにも関わらず、メールアドレスはなぜ平文で保存しているのかと、ふと気になった。サービスから利用者へのメール送信を諦めれば、メールアドレスもハッシュ化できるはずだと思うに至った。