ぽち＊ろぐ

パスワードをハッシュ化して保存してみた

もう二年くらい前になってしまいますけども、

• パスワードをハッシュ化（暗号化）保存することを法律で義務化するくらいのことが必要だと思う - Web屋のネタ帳

という記事を読んだ事がありました。元々ぽちは、各種アカウントのうち致命的な物のパスワードはそれぞれバラバラにしていましたし、セキュリティにシビアにならなければならないような CGIプログラムを書く予定もありませんでしたので、なんとなく読み飛ばしていたのですけども、

• パスワード保存のお供に Crypt::SaltedHash - JPerl Advent Calendar 2009
• Crypt::SaltedHash - search.cpan.org

という Perl の記事で、なんだかお手軽で便利そうな Perlモジュールがある事を知り、ちょっと勉強がてら、パパッとパスワードの保存とチェックの CGIプログラムを書いてみる事にしました。

• 登録画面 - ぽち＊ぷ〜ち
• 確認画面 - ぽち＊ぷ〜ち

通信経路も暗号化されるように SSL な HTTPS でリンクしています。CGI はパスワードの文字列に salt を振りかけてから、SHA-512 を使ってハッシュ化する仕組みにしてみました。詳しい事はそのうち時間がある時に、ぽち＊ぷ〜ちの方で、今回書いたコードと一緒に詳しくメモをしておく予定です。