Ticket #819 (closed 改善提案: 修正済)

Opened 10 years ago

Last modified 10 years ago

パスワードのハッシュ暗号化の強化

Reported by: AMUAMU Owned by: AMUAMU
Priority: Milestone: EC-CUBE2.11.0
Component: フロント Version: 2.4.4
Keywords: Cc:
修正済み:

Description

現在のパスワード暗号化のsalt値としては、サイト内固定のAUTH_MAGIC値を使っているが、セキュリティ向上の為にはアカウント単位に発行した値とAUTH_MAGICを組み合わせてハッシュ暗号化するのが望ましいと思われる。 (多くのパッケージでもこの形式での暗号化が近年は主流)

各アカウント毎のレコードに必ず含まれるsecret_key値+AUTH_MAGIC値をsalt値として使うように変更するのが望ましいのではないか?

登録処理、パスワード変更(管理画面)並びにログイン処理への変更が必要。

Change History

comment:1 Changed 10 years ago by nanasess

  • Milestone changed from EC-CUBE2.5.0beta to EC-CUBE2.6.0(仮)

comment:2 Changed 10 years ago by AMUAMU

  • Owner changed from somebody to AMUAMU
  • Status changed from new to assigned

comment:3 Changed 10 years ago by AMUAMU

  • Milestone changed from EC-CUBE2.6.0(仮) to EC-CUBE2.5.0

r19986 にて修正。

dtb_customer、dtb_member共に同一のHMAC暗号化をした。 saltは別途設ける事とした。secret_keyは一意で別用途にも使われるため。 またAUTH_MAGIC値が固定値だったのもセキュリティ的に問題なのでインストール時生成に修正。

comment:4 Changed 10 years ago by AMUAMU

  • Status changed from assigned to closed
  • Resolution set to 修正済

comment:5 Changed 10 years ago by AMUAMU

暗号化は標準でsha256を使用にしています。sha512が使える環境はsha512のほうがいいかな・・・

Note: See TracTickets for help on using tickets.