Upgrade to Pro — share decks privately, control downloads, hide ads and more …

เก็บรหัสผ่านยังไงดี 2017

Avatar for Manatsawin Hanmongkolchai Manatsawin Hanmongkolchai
March 11, 2017
Programming
0
570

เก็บรหัสผ่านยังไงดี 2017

YWC Programmer Meetup #4

Avatar for Manatsawin Hanmongkolchai

Manatsawin Hanmongkolchai

March 11, 2017
Tweet

More Decks by Manatsawin Hanmongkolchai

See All by Manatsawin Hanmongkolchai
Nix: Declarative OS
Avatar for Manatsawin Hanmongkolchai whs
0
100
gRPC load balancing with xDS
Avatar for Manatsawin Hanmongkolchai whs
0
1k
ArgoCD
Avatar for Manatsawin Hanmongkolchai whs
0
460
Writing Babel Plugin
Avatar for Manatsawin Hanmongkolchai whs
0
220
What's new in Cloud Next 2019
Avatar for Manatsawin Hanmongkolchai whs
0
320
A Date with gRPC
Avatar for Manatsawin Hanmongkolchai whs
1
1.5k
ตีแผ่ Microservice ด้วย Tracing
Avatar for Manatsawin Hanmongkolchai whs
0
400
Next Generation Smart Home
Avatar for Manatsawin Hanmongkolchai whs
0
1k
Istio and the Service Mesh Architecture
Avatar for Manatsawin Hanmongkolchai whs
3
1.1k

Other Decks in Programming

See All in Programming
Event Storming
Avatar for Henning Schwentner hschwentner
3
1.3k
JPUG勉強会 OSSデータベースの内部構造を理解しよう
Avatar for Atsushi Ogawa oga5
2
220
2026/02/04 AIキャラクター人格の実装論 口 調の模倣から、コンテキスト制御による 『思想』と『行動』の創発へ
Avatar for Sald ra sr2mg4
0
650
AI巻き込み型コードレビューのススメ
Avatar for Nealle nealle
2
2.4k
Go Conference mini in Sendai 2026 : Goに新機能を提案し実装されるまでのフロー徹底解説
Avatar for Takahito Yamatoya yamatoya
0
470
RubyとGoでゼロから作る証券システム: 高信頼性が求められるシステムのコードの外側にある設計と運用のリアル
Avatar for free_world21 free_world21
0
130
要求定義・仕様記述・設計・検証の手引き - 理論から学ぶ明確で統一された成果物定義
Avatar for Kuniwak orgachem
PRO
1
480
CSC307 Lecture 11
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
580
モジュラモノリスにおける境界をGoのinternalパッケージで守る
Avatar for magavel magavel
0
3.3k
Raku Raku Notion 20260128
Avatar for hareyaka hareyakayuruyaka
0
420
CSC307 Lecture 13
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
310
NOT A HOTEL - 建築や人と融合し、自由を創り出すソフトウェア
Avatar for Hokuto Shimokawa not_a_hokuts
2
490

Featured

See All Featured
Claude Code のすすめ
Avatar for schroneko schroneko
67
220k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
85
9.4k
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.2k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
9.7k
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
210
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
190
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.2k
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
140
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
2
530
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
52k
Unsuck your backbone
Avatar for Amy Palamountain ammeep
671
58k

Transcript

  1. เก็บรหัสผานยังไงดี 2017 YWC Programmer Meetup

  2. คั่นเวลา • ขอรหัสผานหนอย • 6 ตัว อักษรอังกฤษ ตัวเลข • เดี๋ยวจะทําอะไรใหดู

    • ไมตองใสรหัสจริงมานะ • https://madoka.whs.in.th/pwcrack.html ◦ HTTPS ดวย!!

  3. Who? • Manatsawin Hanmongkolchai (@awkwin) • ถาไมไดกดรับเฟรนก็สงขอความมาถามไดไมกัด • แตถาเขียนโคด insecure

    นี่กัด

  4. Why? • ทํา Freelance มาหลาย project • ทุก project ที่ตองไปยุง

    code เดิมมีชองโหวพื้นๆ หมด ◦ SQL Injection ◦ Insecure Password Hashing • ถาใหพูดทุกประเด็นคงไดเปนชั่วโมง

  5. ขออาง • "ใชคนเดียว ไมเปนไรหรอก" • "เดี๋ยวคอยแกก็ได"

  6. There are two primary causes for the unintentional creation of

    insecure web applications, regardless of the language being used: 1. A lack of knowledge about security 2. Bad development habits — ParagonIE

  7. เก็บรหัสผานยังไงดี? • สมัยผมหัดเขียนเว็บเคาใช MD5 $hashed = md5($_POST['password']);

  8. อยาใช MD5 • SHA1 จาย 5 แสนเหรียญ collision ได •

    แต MD5 รันไวสักวันสองวันก็ collision ได

  9. เก็บรหัสผานยังไงดี? • แลวเคาก็วา SHA1 $hashed = sha1($_POST['password']);

  10. อยาใช SHA1 • มี harddisk เหลือ ทําตาราง SHA1 (Rainbow Table)

    ไวก็ crack SHA1 ไดในพริบตา

  11. เก็บรหัสผานยังไงดี? • แลวเคาก็วาใส salt สิ จะไดปลอดภัย $salt = uniqid(); $hashed

    = sha1($_POST['password'] . $salt);

  12. ยินดีตอนรับสูยุคของ Cloud computing • เมื่อกี้ขอรหัสผาน ใสกันหรือยัง • ถาพรอมแลว ลุย!

  13. ยินดีตอนรับสูยุคของ Cloud computing • Google Cloud เชา K80 ชั่วโมงละ 30

    บาทเทานั้น!!! • งัด MD5 ได 4 พันลานครั้งตอวินาที • งัด SHA256 ได 642.1 ลานครั้งตอวินาที ◦ = รหัส 8 ตัว เสร็จใน 2 นาที • เชาไดถึง 8 ใบตอเครื่อง !!

  14. แลวเอาไงดี???? • ใช Algorithm "ชา" (>100ms) มีการดจอก็งัดไมทันหรอก ◦ Argon2 ◦

    bcrypt ◦ scrypt ◦ PBKDF2 (iPhone ใชอยู)

  15. PHP • PHP 5.5+ มี password hash function มาใหแลว ชวยใชหนอยเถอะ

    • $hash = password_hash($_POST['password'] PASSWORD_DEFAULT); • แลว Salt? มันจัดการใหหมดแลวไมตองไปยุง • (ตอนนี้) ใช algorithm bcrypt

  16. PHP • เวลาเช็ครหัสผานทําแบบนี้ • if(!password_verify($_POST['password'], $db_password)){ die('Wrong!'); } if(password_needs_rehash($db_password, PASSWORD_DEFAULT)){

    $db_password = password_hash($_POST['password'] PASSWORD_DEFAULT); } • password_verify จะเทียบรหัสผานโดยไมโดน timing attack • password_needs_rehash จะเช็ควารหัสใช algorithm ลาสุดหรือเปลา ถาไมใชก็ upgrade ได (ในกรณีที่ในอนาคต PHP เปลี่ยน default algorithm)

  17. PHP • ถาไมมี PHP5.5? • https://github.com/ircmaxell/password_compat • API เดียวกับเมื่อกี้ จบปง

  18. PHP • ถาไมมี PHP5.3.7??? • ไมยอมอัพเกรดขนาดนั้นก็สมควรโดน hack

  19. ใช Framework เถอะ • งงมั้ย? • Security งายนิดเดียว แคใช Framework

    ◦ Django (Python) ลง Argon2/Bcrypt เพิ่มได (อานใน Docs) หรือ default จะใช PBKDF2 ◦ อยาเขียนสิ่งที่ framework มันมีใหอยูแลว

  20. Paragonie Blog • เขียนสนุก เขาใจงาย สําหรับคนเขียน PHP • https://paragonie.com/blog/category/security-engineering

  21. จบ ถามไดไมกัด