パスワード
よく漏れる
サーバサイドでは復元できないように保存する
ユーザアカウントの保護の他、秘密鍵の保護などでも使われるのでそれぞれ標準的なものがある
8文字までをパスワード、それ以上をパスフェーズという分け方も過去にあったかもしれない
/etc/shadow で使われていた Modular Crypt Format が(ユーザ用)保存形式としては主流
https://qiita.com/ockeghem/items/d7324d383fb7c104af58
秘密鍵などのパスワード保護はPKCS #8 やPKCS #12 に PKCS #5 のPBES2などをかけ?
ダイジェスト(ハッシュ)を利用するが、MD5, SHA-1などは廃止されているのでパスワード専用のアルゴリズムやSHA-2、SHA-3とかどう?
他の手法
公開鍵認証 (SSHなど、ブラウザでもPKI認証できるよ)
WebAuthn
Passkey (Webブラウザ)
物理鍵
照合
TLSなどで経路が暗号化されている前提では上のような方法が取れる
パスワード相当のもの
セッションID、APIのもの、などは制限付きのそんなかんじ
ハッシュ値を攪拌するためのものは鍵やパスワードではなくsalt (塩)という
WebのAPI利用では nonce という使い捨ての乱数コードなどもある
アカウント用
Modular Crypt Format
md5
sha2-256
sha2-512
bcrypt など
暗号用
PKCS #5
PBES2 パスワード→暗号
PBKDF2 パスワード→暗号鍵
PBMAC1 パスワード→MAC