UCenter パスワードアルゴリズムのルールと生成方法

Discuz、UCHome、Supesite を含む Kangsheng の一連の製品は、同じユーザーシステムである UCenter に統合されています。ユーザーのログインパスワードも UCenter に保存されます。他のシステムとの統合や UCenter システムへのデータのエクスポートでは、通常、パスワード生成の問題が発生します。ここでは、UCenter のユーザーパスワードアルゴリズムルールと生成方法について説明します。

パスワードは通常、MD5 を使用してハッシュ化され、データベースに保存されます。ハッカーが HASH 値を入手した場合、辞書を使用してそれを解読できます。辞書データベースが十分に大きく、辞書が人々の設定習慣と一致している場合、一般的なパスワードは簡単に解読できます。そのため、UCenter はソルトを使用して、このブルートフォースクラッキングを防止します。ソルトは、パスワードに接続され、一方向関数で操作されるランダムな文字列です。ソルト値に対する一方向関数操作の結果は、データベースに保存されます。可能なソルト値の数が十分に多い場合、ハッカーはソルトとユーザーパスワードを組み合わせたハッシュ値をそれほど多くデータベースに保存できないため、一般的に使用されるパスワードに対する辞書攻撃が実際に排除されます。

UCenter の創設者パスワードはファイルに保持されます。uc の下の /data/config.inc.php ファイルを開きます。その中の UC_FOUNDERPW はパスワードを保持し、UC_FOUNDERSALT は SALT 値を保持します。創設者パスワードを作成するためのルールは、UC_FOUNDERPW=md5 (md5 (PASSWORD).UC_FOUNDERSALT) です。これは、最初にパスワードを MD5 し、次に salt を追加し、最後にもう一度 MD5 することを意味します。生成された HASH 値は config.inc.php ファイルに保持されます。したがって、UC_FOUNDERPW の値を変更することで、UCenter の創設者パスワードを変更できます。

UCenter ユーザー情報は、uc_members テーブルに保存されます。このテーブルでは、各ユーザーには異なるランダムソルトフィールドがあります。テーブル内のパスワードフィールドは、計算されたパスワードです。パスワードの計算ルールは、$password=md5(md5($password).$salt) です。つまり、ユーザーのパスワードを MD5 し、ソルトを追加してから、再度 MD5 し、パスワードフィールドに保持します。

したがって、異なるシステム間でデータを変換する必要がある場合は、この原則に基づいて他のシステムのユーザー名とパスワードを計算し、それらを UCenter の uc_members テーブルにインポートして、ユーザーの移行を実現できます。たとえば、元のシステムがパスワードを保持するために md5 (password) などのアルゴリズムを使用している場合、プログラムはランダムにソルトを生成し、2 つの合計の md5 を計算できます。このようにして、UCenter でユーザーのパスワードの HASH 値を簡単に計算できるため、シームレスなユーザー移行が実現します。

ただし、元のシステムが md5 (パスワード + ソルト) を使用してパスワードを保持している場合、UCenter へのスムーズなパスワード移行を実現することはできません。移行できたとしても、UCenter パスワードに手動でソルトを追加することによってのみ使用できます。したがって、システムユーザーパスワードを設計するときは、パスワードの保持に md5 (md5 (パスワード) + ソルト) を使用するようにしてください。これにより、UCenter とのインターフェイスが容易になり、セキュリティが確保されます。通常、英語のユーザー名の場合、自作システムではユーザー名をソルトとして使用するのが簡単な方法です。

【編集者のおすすめ】