hack のためのネタ帳, etc,,,

「日経 xTECH Activeメール 2019年8月6日」で以下のような記事を見かけた。
WordPress の標準は、MD5 が標準で、salt には wp-config.php 格納された 64 文字のデータを使うんだとかなんとか。
え?今時、MD5 がデフォ何ですか???

更に、業務で利用するなら
wp-password-bcrypt プラグイン入れて BCrypt (と言うか Blowfish) 使うか、
WordPress-Password-Hash プラグイン使って BCrypt か Argon2 使おう
とかなんとか。

BCrypt? って思いググってみたら、結構推奨されてて驚いた。
例えばこんなの。
いやいや、Unix crypt with SHA-256/512 あるじゃん。BSD 系でも普通に使えるし rounds 設定できるし、デフォの rounds=5000 でもそこそこ重たいはずなんだが?
今の Debian や Ubuntu は $6$ (SHA-512)がデフォですよ。
もちろんセキュリティに定評のある OpenBSD 由来ってのは安心感もあるだろうけど、BSD 系ならともかく Linux では 5.01 でも "not in mainline glibc; added in some Linux distribution" なんて言われてるので、標準ライブラリだと使い難いんだよね。
SHA-512 で良くね?

Argon2 は知らなかった。
apt-cache search argon2
してみると Ubuntu 16.04 LTS だと見つからないが、Ubuntu 18.04 LTS や Debian unstable だといくつか見つかる。

関連

  • OpenBSD manual page server / OpenBSD-current / crypt(3)

コメントをかく


「http://」を含む投稿は禁止されています。

利用規約をご確認のうえご記入下さい

Wiki内検索

フリーエリア

編集にはIDが必要です