一般的に使用される暗号のカスタム拡張?
セキュリティを強化するためのカスタム暗号を作成することに価値があるのだろうか。
したがって、たとえば、SHA256ハッシュとして保存されているパスワードがあると思います。ハッシュへのアクセスが取得されると、SHAアルゴリズムが標準であるため、ブルートフォース攻撃を簡単に実行できます。ただし、独自のカスタム暗号を使用している場合、これを簡単に行うことはできません。独自の暗号を作成する方法についての知識はほとんどなく、耐衝突性をある程度保証するために、出力を取得できると思いました。基本的に誰も余分ないくつかのステップが何であるかを知らないので、結果がブルートフォースされる可能性を低くするために、標準の暗号化ハッシュ関数の.
私が使用しない非常に単純な例ですが、例を示すために、最初に使用したハッシュの順序を逆にすることです。
考え?
あなたは、SHA-256だけがパスワードセキュリティにとって悪い選択であるという点で正しいです。ただし、「秘密の手順」を追加することは、暗号化ではお勧めできません。これらの秘密の手順が公開される時期があるためです。代わりに、ランダムソルトを使用するか、このクラスの問題用に特別に設計されたアルゴリズムを使用する方がはるかに優れています。
パスワードの場合は、 OWASPのパスワードストレージチートシート を読んで、適切に行う方法を確認することをお勧めします。も参照してください 私の開発者の自作パスワードセキュリティは正しいか間違っていますか、そしてその理由は? 。