Upgrade to Pro — share decks privately, control downloads, hide ads and more …

password_hash に詳しくなりたい - PHPオレカンファレンス

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Akinori Takigawa Akinori Takigawa
July 19, 2024
Programming
490
1

password_hash に詳しくなりたい - PHPオレカンファレンス

# デモ!(password_hash)

https://php-play.dev/?c=DwfgDgFmBQAkYEMDOSDuB7ATgEwAQF5cAiAWwE8B9RFDHIgbmjgmQgN2rS2wpaQgAU8ZFxwAaXAAUAggGVZAdQDyAJQAiFAEIBhFQE1JAFQCUjAG4JMFbAFcSYIXwinoFq7fsDOtHmYCmmACWAGZkQt7cErBOxqZAA&v=8.3&f=console

# デモ!(cryptとpassword_hash)

- saltが同じならちゃんと同じハッシュ値になるのか
- password_hashは毎回ランダムなsaltを生成するので検証がしづらい

https://php-play.dev/?c=DwfgDgFmBQD0sAJCLDIToZD3DIH4ZCTDNAJGAQwGciB3AewCcATBAXgQCIBPcgV0oH1CSKbGA3NDiIeZKtU4RiEQEkMgf3lAxgyAzBgBGAY0rMwAF0DzDIGGGQO0MgU4ZZgfFdACEZ5pRCPQRi%2Bk2xAAU%2BYuJoAaBAAUAQQBlYIB1AHkAJQARTgAhAGEogE1-ABUASiERBCICABsdWUBeo0AvxTx8oociNlUiHUoPVz8Adj8AJg7s4XgETW1ipWVAGBVADQZDUwtrXAHdKRkHOZ0PJwk-AHJcDuZcAEYABlwNhAA6BFwqnR7oAFN1CHImNZoFuwAuJjOL12--AAl-JwAKIRAAyQnujyYywQcPhcM%2BjG%2Bsy081%2B5wBQNBEN6iEmJkAMgyAADlAC%2BBgE0GQDRDIBpBlkgC6PQCxUdAAJYAMwQzUWdG5F2WbwgmQQAG9oAioU9GPFyDp7K5bkQEARKLcEMzqLcAHY6ZnqQrIzGAkHgoQAXwQtwKRBVIrFDwl-xk8oQ1CeGulCAAtgQdA99QFDTjTdAQAA%2BaBAA&v=8.3&f=console

Avatar for Akinori Takigawa

Akinori Takigawa

July 19, 2024

More Decks by Akinori Takigawa

See All by Akinori Takigawa
Nginxになりきって、FCGIでPHPと喋ろう
Avatar for Akinori Takigawa akinoriakatsuka
0
86
PHPUnitのテストイベントを使ってテストにかかる時間の計測をしよう
Avatar for Akinori Takigawa akinoriakatsuka
0
140
パイプ演算子の実装を
覗いてみよう
Avatar for Akinori Takigawa akinoriakatsuka
0
230
PHPでCQRS+ES入門
Avatar for Akinori Takigawa akinoriakatsuka
0
230
手軽に作れる電卓を作って イベントソーシングに親しもう CQRS+ESカンファレンス2026
Avatar for Akinori Takigawa akinoriakatsuka
0
900
Rubyで作る物理エンジン - 叡電LT
Avatar for Akinori Takigawa akinoriakatsuka
0
43
パイプ演算子の実装を覗いてみよう - 【非公式】PHPカンファレンス福岡2025・前日Meetup
Avatar for Akinori Takigawa akinoriakatsuka
0
50
技術的負債の会計学 - PHPカンファレンス広島2025
Avatar for Akinori Takigawa akinoriakatsuka
8
1.6k
スクラムをちゃんとやる勇気
Avatar for Akinori Takigawa akinoriakatsuka
0
69

Other Decks in Programming

See All in Programming
Spring Security 実践 ─ GraphQL APIで実務に役立つ 認証・認可 を学ぶ
Avatar for Wagyu wagyu
0
230
「AIで開発し、AIを届ける」をEvalでつなぐ 〜AIネイティブに始めるプロダクト開発の実践〜 / Connecting "Develop with AI, deliver AI" with Eval
Avatar for r-kagaya rkaga
4
5.1k
Snowflake Summitでの新機能 CoCo / CoWork / snowflake-summit-2026-overall-what-new-coco
Avatar for Tatsuhiro tatsuhiro
1
130
「なぜそう決めたのか」を残し続ける仕組み ― Notion AI カスタムエージェント × Slack連携による設計判断の自動記録 - NIKKEI Tech Talk #47
Avatar for ニフティ株式会社 niftycorp
PRO
0
170
AI 時代のソフトウェア設計の学び方
Avatar for 増田 亨 masuda220
PRO
29
12k
ふつうのFeature Flag実践入門
Avatar for irof irof
7
3.9k
「エンジニアインターン、どうやって取った?」準備のリアルを語るLT会 Progate BAR
Avatar for akio akiomatic
0
130
DynamoDBには集計系のクエリがないけどなんとかしたい
Avatar for 村上優稀 musan
1
140
Dataformのリポジトリを立ち上げるときにまずやること / dataform-day0-2026
Avatar for snhryt snhryt
0
160
Hunting Vulnerabilities in Symfony with LLMs
Avatar for Vincent Amstoutz vinceamstoutz
0
540
Observability in Practice:Grafana 與 Edge Device SRE 的那些事
Avatar for Blueswen blueswen
0
160
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
Avatar for terry-u16 terryu16
0
260

Featured

See All Featured
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.9k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Visualization
Avatar for Eitan Lees eitanlees
152
17k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
230
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
210
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
1
210
It's Worth the Effort
Avatar for 3n 3n
188
29k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1.2k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
730
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
4.1k

Transcript

  1. 1 / 23 password_hash に詳しくなり たい あかつか PHP" オレ" カンファレンス

    神戸2024 7/20 #orekobe

  2. 2 / 23 自己紹介 あかつか / @aki_artisan 神戸でPHP を書いています 来年のPHP

    カンファレンス関西の実行委員長をします

  3. ことの始まり

  4. 4 / 23 ふとパスワードハッシュについて調べていたときの こと

  5. 5 / 23 ふとパスワードハッシュについて調べていたときの こと 若かりし僕はこう思った ソルトとパスワードが同じ場所にあると意味ないんじゃ… ? この発表を聞いた後は、この疑問が解消しているはずです

  6. 6 / 23 おしながき 1. そもそもパスワードハッシュって何 2. パスワードハッシュにソルトを入れる理由 3. ソルトが同じ場所にあっても良い理由

  7. そもそも パスワードハッシュって何?

  8. 8 / 23 そもそもパスワードハッシュって何? パスワードをそのままDB に保存すると危険 万一漏洩した場合、そのままログインを許してしまう ハッシュ化してDB に保存する ハッシュは元に戻せない、衝突しない変換

  9. 9 / 23 ハッシュを使ったログインの仕組み パスワード登録時はハッシュ化してDB に保存 ログイン時は入力されたパスワードをハッシュ化して保存していたハッシュ と比較

  10. ハッシュのソルトって何?

  11. 11 / 23 ソルトって何? 塩です(というのは冗談) ハッシュ化する際にパスワードに付加するランダムな文字列 DB が漏洩しても、ソルトがあると元のパスワードを推測されにくい $hash =

    md5('password'); // 5f4dcc3b5aa765d61d8327d $hash_with_salt = md5('password' . 'this_is_salt'); // dfb54bd568de04c8a505383

  12. 12 / 23 ソルトを使う理由 セキュリティの強化 レインボーテーブル攻撃を防ぐ ハッシュ値を事前に計算しておくことで、ハッシュ値から元の値を逆引 きする攻撃 ソルトをつけておくとソルトの種類だけテーブルを用意しないといけなくな るので、攻撃が困難になる

  13. PHP でのパスワードハッシュ

  14. 14 / 23 PHP でのパスワードハッシュ password_hash でハッシュ化 password_verify で検証 以上!簡単!

    $password = "my_password"; $hash = password_hash($password, PASSWORD_BCRYPT); // $2y$10$vN1BBXwK.IWTrkRcRG2tLu67FPkpF2lLrf0By5rdzwa3NdzEgiBQi $password = "my_password"; $hash_from_db = '$2y$10$vN1BBXwK.IWTrkRcRG2tLu67FPkpF2lLrf0By5rdzwa3NdzEgiBQi' if (password_verify($password, $hash_from_db)) { echo 'Password is valid!'; } else { echo 'Invalid password.'; }

  15. 15 / 23 デモ!(password_hash ) https://php-play.dev/? c=DwfgDgFmBQAkYEMDOSDuB7ATgEwAQF5cAiAWwE8B9RFDHIgbmjgmQgN2

  16. ソルトが同じ場所にあっても良 い理由

  17. 17 / 23 ソルトが同じ場所にあっても 良い理由 ソルトが毎回ランダムで生成される レインボーテーブル攻撃を成立させるには、あらかじめそのソルトをつけた 文字列のハッシュ値を計算しておく必要がある

  18. 18 / 23 password_hash を使うべき理由 ソルトが自動で生成される タイミング攻撃に対しても安全 ここはPHP に任せる!

  19. 19 / 23 このスライドで伝えたかったこと セキュリティを考えるときは「何から守るために何をするのか」を考える フレームワークにしたら安全そうじゃん?はよくない

  20. おまけ

  21. 21 / 23 デモ!(crypt とpassword_hash ) salt が同じならちゃんと同じハッシュ値になるのか password_hash は毎回ランダムなsalt

    を生成するので検証がしづらい https://php-play.dev/? c=DwfgDgFmBQD0sAJCLDIToZD3DIH4ZCTDNAJGAQwGciB3AewCcATBAXgQCI ABUASiERBCICABsdWUBeo0AvxTx8oociNlUiHUoPVz8Adj8AJg7s4XgETW1ipWVA AHJcDuZcAEYABlwNhAA6BFwqnR7oAFN1CHImNZoFuwAuJjOL12--AAl- JwAKIRAAyQnujyYywQcPhcM%2BjG%2Bsy081%2B5wBQNBEN6iEmJkAMgyAADlA xk8oQ1CeGulCAAtgQdA99QFDTjTdAQAA%2BaBAA&v=8.3&f=console

  22. Thank you!

  23. 23 / 23 参考文献 https://www.php.net/manual/ja/faq.passwords.php https://www.php.net/manual/ja/function.password-hash.php https://www.php.net/manual/ja/function.password-verify.php