2014 年 12 月の記事一覧です(2 件)

Werkzeug の generate_hashed_password がストレッチングに対応していた(のを知らなかった件)

先日ふと Werkzeug のドキュメントを読み返していたら generate_hashed_ password がストレッチングに対応していることに気付きました。

対応されたのはいつからだろうと思い、リリースを調べたら Ver 0.9 (2013年6月) で追加されていますね(今は Ver0.9.6 )全然知らなかった(汗。。

まあ、気付かなかったのはライブラリをアップデートしても今までの文字列パターン( method$salt$hash )で使用出来ていたからですね(後方互換大事)。

このブログではパスワードハッシュに generate_hashed_ password で生成したものを使い、 check_password_hash で照合しています。とりあえずストレッチング仕様のパスワードハッシュに置き換えることにします( OS X 10.10.1 Python3.4.2 で確認)

In [1]: from werkzeug import generate_password_hash

In [2]: pw_hash = generate_password_hash('default')

In [3]: pw_hash
Out[3]: 'pbkdf2:sha1:1000$hldobvVq$cf3ea3d710ddf58609f0c8ee25630e70bca8fc76'

method$salt$hash が pbkdf2:method:iterations$salt$hash になっています。これがデフォルトのようです。
ちなみに照合はこうなります

In [4]: from werkzeug import check_password_hash

In [5]: check_password_hash(pw_hash, 'default')
Out[5]: True

In [6]: check_password_hash(pw_hash, 'defaultx')
Out[6]: False

ストレッチングについてはこちらが詳しいですね
本当は怖いパスワードの話(3/4) - @IT

ちなみに前回のエントリーはこちら
[Werkzeug][Flask]FlaskをSalted Passwordsに対応させる | aoshiman.org

Flaskのスニペット
Salted Passwords | Flask (A Python Microframework)


[Python][#shizuokapy] Shizuoka.py #4 に参加しました


image

Pythonについて、またそれ以外のことでも様々な驚きや発見、とある縁に驚いたこと、そしてよく笑った勉強会と懇親会でした。皆様ありがとうございました。

私の発表スライドを貼っておきます。

percolを紹介した時の反応は良かった。 @oec014 が言っていたように、皆こういうの好きですよね、動きがとにかくかっこいいんです。皆さん是非使ってみてください。あとは発表に入るくだりでのFirefoxプラグインへの食付きはよかった。Chrome版もあるそうなのでURL貼っておきます。

他の方々の発表で気になったのはやはり IPython Notebook ですね。これは来年の宿題です。 自分も使いこなしてみたいです。

Shizuoka.py 来年も是非やりましょう。個人的には三島とかが集まりやすそうなイメージをもってます。

P.S. 昨晩から今日にかけてFacebook MessengerやTwitterのDMでバンバンメッセージが届いています。モテ期に入ったんじゃないかと錯覚してしまいます(笑)メッセージ頂いた方々、20 日前後には発送出来ると思いますので暫しお待ちを


2014.12.16 追記
発表者のスライド一覧はこちら
追記ここまで

PAGE TOP