Return to Video

Password Hashing - CS253 Unit 4 - Udacity

  • 0:00 - 0:03
    さてこれまではハッシュ値の使い方と
  • 0:03 - 0:06
    改ざんされないCookie作成のための
  • 0:06 - 0:09
    HMACについて時間をかけてお話ししてきました
  • 0:09 - 0:14
    今からパスワードのハッシュ化について
    お話しましょう
  • 0:14 - 0:16
    例えばデータベースに
  • 0:16 - 0:20
    2つの列を持つユーザ用のテーブルが
    入っているとします
  • 0:20 - 0:24
    1つの列はユーザ名で
    もう1つはユーザのパスワードです
  • 0:24 - 0:27
    ユーザが有効かどうか検証する場合には
  • 0:27 - 0:30
    このような関数を使います
  • 0:30 - 0:34
    この関数は誰かがログインした時に呼び出され
  • 0:34 - 0:36
    user=get_user(name)と続きます
  • 0:36 - 0:38
    もしユーザが存在すれば
  • 0:38 - 0:42
    if user and user.password=pw return userと
  • 0:42 - 0:46
    表示されます とても分かりやすいですね
  • 0:46 - 0:51
    しかしこれには問題もあります
    データベースの情報が漏れた時に
  • 0:51 - 0:54
    非常に困ったことになるのです
  • 0:54 - 0:57
    パスワードが丸見えになってしまうからです
  • 0:57 - 1:01
    ユーザの個人情報が漏れてしまったり
    ハッカーに侵入されて
  • 1:01 - 1:04
    パスワードを知られてしまったら
  • 1:04 - 1:07
    ユーザの怒りを買うだけでなく
    サイト側も窮地に陥ります
  • 1:07 - 1:10
    そんな状況を回避するためには
  • 1:10 - 1:12
    データベースにパスワードを
  • 1:12 - 1:16
    テキストで書かずに
    パスワードハッシュ値を格納するのです
  • 1:16 - 1:24
    その場合この列は
    H(hunter2)とH(metallica)となります
  • 1:24 - 1:29
    もし情報が漏れてしまった場合
    ハッカーは大量のパスワードハッシュ値を
  • 1:29 - 1:31
    手に入れることになります
  • 1:31 - 1:34
    皆さんもご存じのように
  • 1:34 - 1:38
    ハッシュ値を元のパラメータに戻すことは
    不可能に近いのです
  • 1:38 - 1:40
    この関数で状況は改善されます
  • 1:40 - 1:44
    pwとデータベースのパスワード欄を比較する代わりに
  • 1:44 - 1:48
    H(pw)とパスワードハッシュ値を比較するのです
  • 1:48 - 1:53
    この処理をすると状況は格段によくなります
  • 1:53 - 1:55
    この手法なら あまり手間がかからず
  • 1:55 - 1:58
    テキストのパスワードも残りません
  • 1:58 - 2:01
    もしデータベースの情報が漏れても
  • 2:01 - 2:04
    ハッカーはハッシュ値を手にするわけです
  • 2:04 - 2:09
    これは今週の宿題に出したような
    ユーザ登録システムの構築の際に
  • 2:09 - 2:11
    取り入れたい重要な戦略です
  • 2:11 - 2:13
    では まず小テストをしましょう
Cím:
Password Hashing - CS253 Unit 4 - Udacity
Leírás:

more » « less
Video Language:
English
Team:
Udacity
Projekt:
CS253 - Web Development
Duration:
02:14
Fran Ontanaya edited Japán subtitles for 12-40 Password Hashing

Japanese subtitles

Felülvizsgálatok