Kashibuchi’s blog

勉強のこと、日々のこと

2022 JJUG CCC Spring メモ

視聴しなかったけど、こちらのセッション資料で気になる点が。

speakerdeck.com

39ページ目で、「BCryptPasswordEncoderが遅い」「BCryptPasswordEncoderを使用せず自前実装に切り替えたところ1500msから350msまで改善」とあるけど、暗号化やハッシュ化回りは自前実装しないのがセキュリティ的には安心なんじゃなかったっけ?

www.websec-room.com

これこれ↑。 徳丸浩さんのツイートもあるし。

で、BCryptPasswordEncoderが遅いならPbkdf2PasswordEncoderかなあ。 SCryptPasswordEncoderはいくつか警告もあるし。

自分でログイン認証作るときは考慮しよう。

spring.pleiades.io

spring.pleiades.io