web-dev-qa-db-ja.com

パスワード自体でパスワードを暗号化しても安全ですか?

一部のデータを暗号化するためにパスワードを使用しています。ただし、復号化の際に、入力したパスワードが正しいか確認したい。そのために、パスワード自体を暗号化します。次に、復号化時に、指定されたパスワードが暗号化されたパスワードと一致するかどうかを確認します。

パスワード自体でパスワードを暗号化するのは安全ですか?

4
Thomas W

この投稿 が役立つかもしれません。暗号化キーと同じパスワードを使用してパスワードを暗号化することに問題はありませんが、HMACや認証された暗号化モードなどを使用してリンクを解除したことを確認する他の方法があります。 GCMによるAESとして。

2
Joe

パスワードをブルートフォースする誰かが、パスワードが正しいかどうかを簡単に検証することができます。しかし、それ以外の場合は、同じパスワードから派生したキーを使用してパスワードを暗号化することにより、ほとんどの暗号化アルゴリズムを脆弱にするべきではありません。

暗号化するデータには、復号化するときに確認できる構造がありますか?パスワードとそれに続く暗号化キーが正しくない場合、復号化されたデータはガベージになります。

1
Silver