ユーザー情報、ログイン資格情報、およびパスワードの安全な保管

ユーザー情報のプライバシーと整合性を確保することは、最新のアプリケーションでは非常に重要です。この記事では、ユーザー データを保存する際のジレンマに対処し、特にログイン資格情報やパスワードから個人情報を分離するための最適なアプローチに焦点を当てます。

すべてのユーザー情報を 1 つのテーブルに保存することに伴う潜在的なリスクを軽減するために、一部の開発者は、個人データとログイン情報を別個のテーブルに分離することを提唱しています。これはセキュリティが強化されているという誤った印象を与えるかもしれませんが、根本的な問題には対処できません。

未加工のパスワード ストレージの危険性

最大の懸念はストレージにあります。生のパスワード。このような機密情報を含むデータベース テーブルが侵害されると、攻撃者はすべてのユーザー アカウントにアクセスできるようになります。これを防ぐには、元のパスワードの代わりにパスワード ハッシュを保存することが不可欠です。ハッシュでは、暗号化アルゴリズムを使用して一方向関数が生成され、ハッシュから元のパスワードを取得することができなくなります。

ハッシュ セキュリティとアルゴリズムの選択

は必須ですbcrypt のような信頼できるハッシュ アルゴリズムを選択します。これには、パスワードのセキュリティをさらに強化するソルティングが組み込まれています。ソルティングでは、ハッシュ化する前に各ユーザーに固有のランダムな値をパスワードに追加し、レインボー テーブル攻撃を実行不可能にします。

物理的なテーブル分離の神話

メインのユーザー情報テーブルからのパスワード ハッシュ テーブルが追加のセキュリティを提供することは根拠がありません。データベース侵害が発生した場合、攻撃者は侵害されたデータベース内の両方のテーブルに簡単にアクセスできます。

LDAP の考慮事項

セキュリティを強化するには、ユーザー認証情報を次の場所に保存することを検討してください。 LDAP ディレクトリ サーバーのような別個のデータ ストア。このアプローチにより、シングル サインオンの統合が容易になり、ユーザーの資格情報をドメイン データから分離することで追加の保護層が提供されます。