Scribble at 2020-09-05 23:32:20 Last modified: unmodified
久しぶりに OWASP のドキュメントを読むと、パスワードのハッシュ化に際して塩をまぶすだけではなくコショウも使えと書いてある。これらはパスワードの文字列に加える文字列だが、塩はパスワードと同じくデータベースにユーザごとのユニークな値として格納するデータだが、コショウはデータベースに格納しない文字列で、これは全てのパスワードに同じ文字列を使う。もちろん、DBMS がクラックされてバイナリ・データを奪われたり読み込まれただけでは情報が漏洩しないようにするための保険である。しかしながら、DBMS のサーバがクラックされるくらいなら、コショウが文字列としてコーディングしてあるウェブ・サーバもクラックされる可能性が高いため、同時に情報が盗まれる可能性もあろう。よって、僕は情報セキュリティの実務家として、こういう仕組みは「おまじない」ていどのものと弁えるべきだと思う。