Skip to main content

日記 2022/08/01

日記!

四国旅行 #

高知市のホテルで目を覚まし、電車でかずら橋へ向かった。

歩くたびに揺れるし足場の感覚広いしで本当に怖かった。
とはいえ景色があまりに夏休みすぎて最高だった。僕たちの夏はこれからだ。
夕食では寿司を食べた。あまりに美味しすぎて虹がかかった。

学び #

四国在住の方に奇跡のオフ会に誘っていただいたので、お会いする方繋がりでSMTPの書籍読んだりRailsの認証のスライドをみたりしていた。

【電子版】Dark Depths of SMTP

Build and Learn Rails Authentication

特にPepperとSaltの違いが自分の中では勉強になった。DevisePepperとかいうアレはSaltとは違うものだったらしい。
そもそもPepperがSaltと違うものだという認識がなく、Saltは秘密にする値だという意識を持っていた。
bcryptでは出力される文字列にはSaltがそのまま載っている仕様なので、自分がbcryptの仕様をよくわかっていなかったことが判明した。
PepperはSecretSaltとも呼ばれており、データベース以外の場所(データベースの中身が漏洩した時に同時に流出する可能性が低い場所)に秘密の値を保存しておき、この値をパスワードをハッシュ化する時に用いるのがPepperという手法らしい。
この手法を用いることで仮にハッシュ化したパスワードが全て漏洩してとしても、辞書攻撃を防くことができる。
Pepperをハッシュ化されたパスワードの暗号化の秘密鍵として使う手法もあるようだ。

参考 #

https://en.wikipedia.org/wiki/Pepper_(cryptography)

How Dropbox securely stores your passwords