Upgrade to Pro — share decks privately, control downloads, hide ads and more …

password_hash に詳しくなりたい - PHPオレカンファレンス

akatsuka
July 19, 2024
Programming
0
220

password_hash に詳しくなりたい - PHPオレカンファレンス

# デモ!(password_hash)

https://php-play.dev/?c=DwfgDgFmBQAkYEMDOSDuB7ATgEwAQF5cAiAWwE8B9RFDHIgbmjgmQgN2rS2wpaQgAU8ZFxwAaXAAUAggGVZAdQDyAJQAiFAEIBhFQE1JAFQCUjAG4JMFbAFcSYIXwinoFq7fsDOtHmYCmmACWAGZkQt7cErBOxqZAA&v=8.3&f=console

# デモ!(cryptとpassword_hash)

- saltが同じならちゃんと同じハッシュ値になるのか
- password_hashは毎回ランダムなsaltを生成するので検証がしづらい

https://php-play.dev/?c=DwfgDgFmBQD0sAJCLDIToZD3DIH4ZCTDNAJGAQwGciB3AewCcATBAXgQCIBPcgV0oH1CSKbGA3NDiIeZKtU4RiEQEkMgf3lAxgyAzBgBGAY0rMwAF0DzDIGGGQO0MgU4ZZgfFdACEZ5pRCPQRi%2Bk2xAAU%2BYuJoAaBAAUAQQBlYIB1AHkAJQARTgAhAGEogE1-ABUASiERBCICABsdWUBeo0AvxTx8oociNlUiHUoPVz8Adj8AJg7s4XgETW1ipWVAGBVADQZDUwtrXAHdKRkHOZ0PJwk-AHJcDuZcAEYABlwNhAA6BFwqnR7oAFN1CHImNZoFuwAuJjOL12--AAl-JwAKIRAAyQnujyYywQcPhcM%2BjG%2Bsy081%2B5wBQNBEN6iEmJkAMgyAADlAC%2BBgE0GQDRDIBpBlkgC6PQCxUdAAJYAMwQzUWdG5F2WbwgmQQAG9oAioU9GPFyDp7K5bkQEARKLcEMzqLcAHY6ZnqQrIzGAkHgoQAXwQtwKRBVIrFDwl-xk8oQ1CeGulCAAtgQdA99QFDTjTdAQAA%2BaBAA&v=8.3&f=console

akatsuka

July 19, 2024
Tweet

More Decks by akatsuka

See All by akatsuka
PHPで物理エンジン(PHPysics)を作ってみた - PHPカンファレンス沖縄2024
akinoriakatsuka
0
76
依存を意識して安定した変更に強いコードを書こう
akinoriakatsuka
0
99
composer dump-autoloadを「なんとなく使う」から「理解して使う」になる
akinoriakatsuka
0
1.6k
リバーシを作って学ぶテスト駆動開発
akinoriakatsuka
0
100
OSS Gateに参加したら Larastanに コントリビュートできた - Kobe Laravel
akinoriakatsuka
0
83
知っておきたいautoloadのはなし - PHPカンファレンス関⻄2024
akinoriakatsuka
1
1.3k

Other Decks in Programming

See All in Programming
Duckdb-Wasmでローカルダッシュボードを作ってみた
nkforwork
0
120
Flutterを言い訳にしない!アプリの使い心地改善テクニック5選🔥
kno3a87
1
160
どうして僕の作ったクラスが手続き型と言われなきゃいけないんですか
akikogoto
1
120
OSSで起業してもうすぐ10年 / Open Source Conference 2024 Shimane
furukawayasuto
0
100
Remix on Hono on Cloudflare Workers
yusukebe
1
280
見せてあげますよ、「本物のLaravel批判」ってやつを。
77web
7
7.7k
Snowflake x dbtで作るセキュアでアジャイルなデータ基盤
tsoshiro
2
520
Why Jakarta EE Matters to Spring - and Vice Versa
ivargrimstad
0
1.1k
Amazon Qを使ってIaCを触ろう!
maruto
0
400
Realtime API 入門
riofujimon
0
150
Less waste, more joy, and a lot more green: How Quarkus makes Java better
hollycummins
0
100
RubyLSPのマルチバイト文字対応
notfounds
0
120

Featured

See All Featured
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
What's new in Ruby 2.0
geeforr
343
31k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
How GitHub (no longer) Works
holman
310
140k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Practical Orchestrator
shlominoach
186
10k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Unsuck your backbone
ammeep
668
57k
Optimizing for Happiness
mojombo
376
70k
The Pragmatic Product Professional
lauravandoore
31
6.3k
KATA
mclloyd
29
14k

Transcript

  1. 1 / 23 password_hash に詳しくなり たい あかつか PHP" オレ" カンファレンス

    神戸2024 7/20 #orekobe

  2. 2 / 23 自己紹介 あかつか / @aki_artisan 神戸でPHP を書いています 来年のPHP

    カンファレンス関西の実行委員長をします

  3. ことの始まり

  4. 4 / 23 ふとパスワードハッシュについて調べていたときの こと

  5. 5 / 23 ふとパスワードハッシュについて調べていたときの こと 若かりし僕はこう思った ソルトとパスワードが同じ場所にあると意味ないんじゃ… ? この発表を聞いた後は、この疑問が解消しているはずです

  6. 6 / 23 おしながき 1. そもそもパスワードハッシュって何 2. パスワードハッシュにソルトを入れる理由 3. ソルトが同じ場所にあっても良い理由

  7. そもそも パスワードハッシュって何?

  8. 8 / 23 そもそもパスワードハッシュって何? パスワードをそのままDB に保存すると危険 万一漏洩した場合、そのままログインを許してしまう ハッシュ化してDB に保存する ハッシュは元に戻せない、衝突しない変換

  9. 9 / 23 ハッシュを使ったログインの仕組み パスワード登録時はハッシュ化してDB に保存 ログイン時は入力されたパスワードをハッシュ化して保存していたハッシュ と比較

  10. ハッシュのソルトって何?

  11. 11 / 23 ソルトって何? 塩です(というのは冗談) ハッシュ化する際にパスワードに付加するランダムな文字列 DB が漏洩しても、ソルトがあると元のパスワードを推測されにくい $hash =

    md5('password'); // 5f4dcc3b5aa765d61d8327d $hash_with_salt = md5('password' . 'this_is_salt'); // dfb54bd568de04c8a505383

  12. 12 / 23 ソルトを使う理由 セキュリティの強化 レインボーテーブル攻撃を防ぐ ハッシュ値を事前に計算しておくことで、ハッシュ値から元の値を逆引 きする攻撃 ソルトをつけておくとソルトの種類だけテーブルを用意しないといけなくな るので、攻撃が困難になる

  13. PHP でのパスワードハッシュ

  14. 14 / 23 PHP でのパスワードハッシュ password_hash でハッシュ化 password_verify で検証 以上!簡単!

    $password = "my_password"; $hash = password_hash($password, PASSWORD_BCRYPT); // $2y$10$vN1BBXwK.IWTrkRcRG2tLu67FPkpF2lLrf0By5rdzwa3NdzEgiBQi $password = "my_password"; $hash_from_db = '$2y$10$vN1BBXwK.IWTrkRcRG2tLu67FPkpF2lLrf0By5rdzwa3NdzEgiBQi' if (password_verify($password, $hash_from_db)) { echo 'Password is valid!'; } else { echo 'Invalid password.'; }

  15. 15 / 23 デモ!(password_hash ) https://php-play.dev/? c=DwfgDgFmBQAkYEMDOSDuB7ATgEwAQF5cAiAWwE8B9RFDHIgbmjgmQgN2

  16. ソルトが同じ場所にあっても良 い理由

  17. 17 / 23 ソルトが同じ場所にあっても 良い理由 ソルトが毎回ランダムで生成される レインボーテーブル攻撃を成立させるには、あらかじめそのソルトをつけた 文字列のハッシュ値を計算しておく必要がある

  18. 18 / 23 password_hash を使うべき理由 ソルトが自動で生成される タイミング攻撃に対しても安全 ここはPHP に任せる!

  19. 19 / 23 このスライドで伝えたかったこと セキュリティを考えるときは「何から守るために何をするのか」を考える フレームワークにしたら安全そうじゃん?はよくない

  20. おまけ

  21. 21 / 23 デモ!(crypt とpassword_hash ) salt が同じならちゃんと同じハッシュ値になるのか password_hash は毎回ランダムなsalt

    を生成するので検証がしづらい https://php-play.dev/? c=DwfgDgFmBQD0sAJCLDIToZD3DIH4ZCTDNAJGAQwGciB3AewCcATBAXgQCI ABUASiERBCICABsdWUBeo0AvxTx8oociNlUiHUoPVz8Adj8AJg7s4XgETW1ipWVA AHJcDuZcAEYABlwNhAA6BFwqnR7oAFN1CHImNZoFuwAuJjOL12--AAl- JwAKIRAAyQnujyYywQcPhcM%2BjG%2Bsy081%2B5wBQNBEN6iEmJkAMgyAADlA xk8oQ1CeGulCAAtgQdA99QFDTjTdAQAA%2BaBAA&v=8.3&f=console

  22. Thank you!

  23. 23 / 23 参考文献 https://www.php.net/manual/ja/faq.passwords.php https://www.php.net/manual/ja/function.password-hash.php https://www.php.net/manual/ja/function.password-verify.php