SSLとMD5について

> ・平文で送らないためには、SSLにするしかないのでしょうか？ MD5等のハッシュ関数をうまく利用して、パスワードまたは パスワードをハッシュ化したものを直接送らなくても、 正しいパスワードを知っていることを伝える方法があります。 それが、チャレンジ/レスポンス方式です。 > ・SSLにしたら、MD5にしなくてもよいのでしょうか？ 他の方も書かれている通り、SSLは通信路の暗号化に役立ちますが、 通信路に関係なく、パスワードをDBに保存する際は、MD5等の ハッシュ化をすべきです。 > ・チャレンジ/レスポンス認証というのは、どうやってやるんでしょうか？ http://www.ipa.go.jp/security/awareness/vendor/programmingv1/b09_01_main.html の「チャレンジ/レスポンス方式」の解説がわかりやすいと思いますので 参考にしてください。 httpプロトコルレベルで、MD5を使ってチャレンジ/レスポンス方式で 認証する方式を「ダイジェスト認証」と言います。ダイジェスト認証は ApacheやIIS等のサーバ側を設定するだけで簡単に利用できますし、 クライアント側もIEやFirefox等の一般的なブラウザなら必ず対応しています。 (参考) http://www.adminweb.jp/apache/allow/index8.html フォーム認証でチャレンジ/レスポンス方式を実現する場合は、 ブラウザ上でJavaScriptを使ってハッシュ処理を実行させる必要があります。

MD5する理由-> SQLインジェクションなどでパスワードが流出した場合そのまま使われてしまいます。 ですので、ハッシュ化したものを保存しておくのがいいと思います。 出来ればパスワード+SALTしたものをmd5とかsha1かけるのがいいと思います。 SSL-> こちらは通信経路なのでパスワードをハッシュかけるのとは別物ですね。 例えばネカフェやマンションなどはルーターを使用してると思います。このルーターに流れるパケットをのぞき見された場合sslにしていないと丸見えです。