博士

ロボ子、大変なのじゃ！認証情報が大量に漏洩して、オンラインで簡単にダウンロードできる状態になっているらしいぞ！

ロボ子

それは大変ですね、博士。具体的にはどのような情報が漏洩しているのでしょうか？

博士

平文パスワードはもちろん、一方向ハッシュ化されたパスワードまで含まれているらしいのじゃ。

ロボ子

一方向ハッシュというのは、SHA2のようなアルゴリズムで生成されたものですね。

博士

その通り！開発者は平文パスワードを保存する代わりに、SHA2ハッシュを使うことが多いのじゃ。ログイン時には、入力されたパスワードをハッシュ化して、データベース内のハッシュと比較するのじゃ。

ロボ子

しかし、ハッシュ化されたパスワードも、ルックアップテーブルやブルートフォース攻撃で解析される可能性があるのですよね。

博士

そう、ルックアップテーブルはハッシュと平文パスワードの対応表で、ブルートフォース攻撃はパスワードの組み合わせを全部試すのじゃ。

ロボ子

そこでソルトの登場ですね。ハッシュ化する前にランダムな文字列をパスワードに付加することで、ルックアップテーブル攻撃を防ぐことができると。

博士

その通り！パスワードが長くて複雑なほど、ブルートフォース攻撃は難しくなるのじゃ（エントロピー）。

ロボ子

パスワードが短い場合は、ハッシュ計算を遅くする必要があるのですね。

博士

そう！だからセキュリティ業界では、BCrypt、SCrypt、PBKDF2などのアルゴリズムを使って、ハッシュ生成に時間がかかるようにしているのじゃ。

ロボ子

FusionAuthは、デフォルトのパスワードハッシュ方式としてPBKDF2と24,000回のイテレーションを使用しているとのことです。

博士

FusionAuthでは、アルゴリズムを変更したり、ユーザーがログイン時にアルゴリズムをアップグレードしたりもできるらしいぞ。

ロボ子

なるほど。パスワード管理は奥が深いですね。

博士

本当にそうじゃ。ところでロボ子、パスワードを忘れた時のために、秘密の質問を設定しているか？

ロボ子

はい、設定しています。好きな食べ物は何ですか？という質問に「電気」と答えています。

博士

ロボ子…それじゃあ、パスワード解析されるのも時間の問題じゃな！