このサイトのパスワードをきちんと決めようと思うのですが、暗号学的Hash関数と、HMACのうちどちらを使ったら良いですか。 もしくは他により良い方法があったら教えてください。 パスワードは全て自分のホームページに変数を含む計算式にして公開しておきたいです。 変数に代入する値は専用のスタンドアロンのPC内のみに設定し、ホームページから計算式を読み込んで専用PCで計算して、パスワードを算出します。 値はあらゆるパスワード計算式に対してひとつにしたいです。←覚えてられないから あとパスワード変更したいときも計算式の一部を変えれば簡単にできるので、このやり方でいきたいです。 この場合、計算式をどう書くかは暗号学的Hash関数を用いることでクリアできると思いますが、ただ単に用いただけでは length-extension 攻撃に対して脆弱なので、危険でしょうか? HMACという方式を用いたほうが良いですか? 日本語版Wikipediaでそんな記述があって気になりました。 一応、暗号学的Hash関数の種類はSHA3の256ビットか512ビットを考えています。 SHA3ならlength-extension 攻撃に対して気にしなくて良いのでしょうか?そんな記述を見かけた気もしますが良く分かりませんでした。 あと、最終的なパスワード文字列は、先頭から何文字取るみたいに切り詰めなければなりませんが、それはサイトの仕様なのでそれで危険になっても仕方ないと思っていますが、甘いでしょうか。 質問がふたつになってしまいました。 ほかにもこの質問内容で足りないところがあれば補足しますので回答よろしくお願いします。
↧