Upgrade to Pro — share decks privately, control downloads, hide ads and more …

password_hash に詳しくなりたい - PHPオレカンファレンス

akatsuka
July 19, 2024
Programming
0
170

password_hash に詳しくなりたい - PHPオレカンファレンス

# デモ!(password_hash)

https://php-play.dev/?c=DwfgDgFmBQAkYEMDOSDuB7ATgEwAQF5cAiAWwE8B9RFDHIgbmjgmQgN2rS2wpaQgAU8ZFxwAaXAAUAggGVZAdQDyAJQAiFAEIBhFQE1JAFQCUjAG4JMFbAFcSYIXwinoFq7fsDOtHmYCmmACWAGZkQt7cErBOxqZAA&v=8.3&f=console

# デモ!(cryptとpassword_hash)

- saltが同じならちゃんと同じハッシュ値になるのか
- password_hashは毎回ランダムなsaltを生成するので検証がしづらい

https://php-play.dev/?c=DwfgDgFmBQD0sAJCLDIToZD3DIH4ZCTDNAJGAQwGciB3AewCcATBAXgQCIBPcgV0oH1CSKbGA3NDiIeZKtU4RiEQEkMgf3lAxgyAzBgBGAY0rMwAF0DzDIGGGQO0MgU4ZZgfFdACEZ5pRCPQRi%2Bk2xAAU%2BYuJoAaBAAUAQQBlYIB1AHkAJQARTgAhAGEogE1-ABUASiERBCICABsdWUBeo0AvxTx8oociNlUiHUoPVz8Adj8AJg7s4XgETW1ipWVAGBVADQZDUwtrXAHdKRkHOZ0PJwk-AHJcDuZcAEYABlwNhAA6BFwqnR7oAFN1CHImNZoFuwAuJjOL12--AAl-JwAKIRAAyQnujyYywQcPhcM%2BjG%2Bsy081%2B5wBQNBEN6iEmJkAMgyAADlAC%2BBgE0GQDRDIBpBlkgC6PQCxUdAAJYAMwQzUWdG5F2WbwgmQQAG9oAioU9GPFyDp7K5bkQEARKLcEMzqLcAHY6ZnqQrIzGAkHgoQAXwQtwKRBVIrFDwl-xk8oQ1CeGulCAAtgQdA99QFDTjTdAQAA%2BaBAA&v=8.3&f=console

akatsuka

July 19, 2024
Tweet

More Decks by akatsuka

See All by akatsuka
PHPで物理エンジン(PHPysics)を作ってみた - PHPカンファレンス沖縄2024
akinoriakatsuka
0
43
依存を意識して安定した変更に強いコードを書こう
akinoriakatsuka
0
79
composer dump-autoloadを「なんとなく使う」から「理解して使う」になる
akinoriakatsuka
0
1k
リバーシを作って学ぶテスト駆動開発
akinoriakatsuka
0
94
OSS Gateに参加したら Larastanに コントリビュートできた - Kobe Laravel
akinoriakatsuka
0
77
知っておきたいautoloadのはなし - PHPカンファレンス関⻄2024
akinoriakatsuka
1
1.1k

Other Decks in Programming

See All in Programming
Pythonによるイベントソーシングへの挑戦と現状に対する考察 / Challenging Event Sourcing with Python and Reflections on the Current State
nrslib
2
370
Делим тесты между QA и разработчиком
mariyasaygina
0
260
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
2
180
Remix × Cloudflare Pages × Sentry 奮闘記 / remix-pages-sentry
nkzn
0
290
為醫療加裝Python的引擎
cclai999
0
240
Modern Angular with the NGRX Signal Store New Rules for Your Architecture @BASTA! 2024 in Mainz
manfredsteyer
PRO
0
280
ビット演算の話 / Let's play with bit operations
kaityo256
PRO
1
120
AndroidアプリのUIバリエーションをあの手この手で確認する / Check UI variations of Android apps by various means
tkmnzm
1
470
unique パッケージから学ぶ interning と weak reference @ Asakusa.go#3
karamaru
2
860
Micro Frontends Unmasked: Opportunities, Challenges, Alternatives
manfredsteyer
PRO
0
220
M5Stack に色々な M5ユニットをつないで扱う為の新たなアプローチ
gob
0
190
Data Contracts In Practice With Debezium and Apache Flink
gunnarmorling
0
190

Featured

See All Featured
The Pragmatic Product Professional
lauravandoore
31
6.2k
Design by the Numbers
sachag
277
19k
Large-scale JavaScript Application Architecture
addyosmani
508
110k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
45
4.8k
How to train your dragon (web standard)
notwaldorf
86
5.6k
Music & Morning Musume
bryan
46
6k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
26
4k
Principles of Awesome APIs and How to Build Them.
keavy
125
17k
Visualization
eitanlees
142
15k
What's new in Ruby 2.0
geeforr
340
31k
Building a Scalable Design System with Sketch
lauravandoore
458
32k
Atom: Resistance is Futile
akmur
261
25k

Transcript

  1. 1 / 23 password_hash に詳しくなり たい あかつか PHP" オレ" カンファレンス

    神戸2024 7/20 #orekobe

  2. 2 / 23 自己紹介 あかつか / @aki_artisan 神戸でPHP を書いています 来年のPHP

    カンファレンス関西の実行委員長をします

  3. ことの始まり

  4. 4 / 23 ふとパスワードハッシュについて調べていたときの こと

  5. 5 / 23 ふとパスワードハッシュについて調べていたときの こと 若かりし僕はこう思った ソルトとパスワードが同じ場所にあると意味ないんじゃ… ? この発表を聞いた後は、この疑問が解消しているはずです

  6. 6 / 23 おしながき 1. そもそもパスワードハッシュって何 2. パスワードハッシュにソルトを入れる理由 3. ソルトが同じ場所にあっても良い理由

  7. そもそも パスワードハッシュって何?

  8. 8 / 23 そもそもパスワードハッシュって何? パスワードをそのままDB に保存すると危険 万一漏洩した場合、そのままログインを許してしまう ハッシュ化してDB に保存する ハッシュは元に戻せない、衝突しない変換

  9. 9 / 23 ハッシュを使ったログインの仕組み パスワード登録時はハッシュ化してDB に保存 ログイン時は入力されたパスワードをハッシュ化して保存していたハッシュ と比較

  10. ハッシュのソルトって何?

  11. 11 / 23 ソルトって何? 塩です(というのは冗談) ハッシュ化する際にパスワードに付加するランダムな文字列 DB が漏洩しても、ソルトがあると元のパスワードを推測されにくい $hash =

    md5('password'); // 5f4dcc3b5aa765d61d8327d $hash_with_salt = md5('password' . 'this_is_salt'); // dfb54bd568de04c8a505383

  12. 12 / 23 ソルトを使う理由 セキュリティの強化 レインボーテーブル攻撃を防ぐ ハッシュ値を事前に計算しておくことで、ハッシュ値から元の値を逆引 きする攻撃 ソルトをつけておくとソルトの種類だけテーブルを用意しないといけなくな るので、攻撃が困難になる

  13. PHP でのパスワードハッシュ

  14. 14 / 23 PHP でのパスワードハッシュ password_hash でハッシュ化 password_verify で検証 以上!簡単!

    $password = "my_password"; $hash = password_hash($password, PASSWORD_BCRYPT); // $2y$10$vN1BBXwK.IWTrkRcRG2tLu67FPkpF2lLrf0By5rdzwa3NdzEgiBQi $password = "my_password"; $hash_from_db = '$2y$10$vN1BBXwK.IWTrkRcRG2tLu67FPkpF2lLrf0By5rdzwa3NdzEgiBQi' if (password_verify($password, $hash_from_db)) { echo 'Password is valid!'; } else { echo 'Invalid password.'; }

  15. 15 / 23 デモ!(password_hash ) https://php-play.dev/? c=DwfgDgFmBQAkYEMDOSDuB7ATgEwAQF5cAiAWwE8B9RFDHIgbmjgmQgN2

  16. ソルトが同じ場所にあっても良 い理由

  17. 17 / 23 ソルトが同じ場所にあっても 良い理由 ソルトが毎回ランダムで生成される レインボーテーブル攻撃を成立させるには、あらかじめそのソルトをつけた 文字列のハッシュ値を計算しておく必要がある

  18. 18 / 23 password_hash を使うべき理由 ソルトが自動で生成される タイミング攻撃に対しても安全 ここはPHP に任せる!

  19. 19 / 23 このスライドで伝えたかったこと セキュリティを考えるときは「何から守るために何をするのか」を考える フレームワークにしたら安全そうじゃん?はよくない

  20. おまけ

  21. 21 / 23 デモ!(crypt とpassword_hash ) salt が同じならちゃんと同じハッシュ値になるのか password_hash は毎回ランダムなsalt

    を生成するので検証がしづらい https://php-play.dev/? c=DwfgDgFmBQD0sAJCLDIToZD3DIH4ZCTDNAJGAQwGciB3AewCcATBAXgQCI ABUASiERBCICABsdWUBeo0AvxTx8oociNlUiHUoPVz8Adj8AJg7s4XgETW1ipWVA AHJcDuZcAEYABlwNhAA6BFwqnR7oAFN1CHImNZoFuwAuJjOL12--AAl- JwAKIRAAyQnujyYywQcPhcM%2BjG%2Bsy081%2B5wBQNBEN6iEmJkAMgyAADlA xk8oQ1CeGulCAAtgQdA99QFDTjTdAQAA%2BaBAA&v=8.3&f=console

  22. Thank you!

  23. 23 / 23 参考文献 https://www.php.net/manual/ja/faq.passwords.php https://www.php.net/manual/ja/function.password-hash.php https://www.php.net/manual/ja/function.password-verify.php