パスワード保存

GitLabはパスワードが見えないように、ハッシュ化された形式でユーザーのパスワードを保存します。

GitLabはDevise認証ライブラリを使用しており、ユーザーパスワードのハッシュを処理します。 パスワードハッシュは以下の属性で作成されます:

  • ハッシュ:提供されたパスワードのハッシュを生成するために、bcryptハッシュ関数が使用されます。 これは、強力な業界標準の暗号ハッシュ関数です。
  • ストレッチング: パスワードハッシュは、ブルートフォース攻撃に対して強固にするためにストレッチングされます。 GitLabはデフォルトでストレッチング係数10を使用します。
  • ソルティング:事前に計算されたハッシュ攻撃や辞書攻撃から守るため、各パスワードに暗号化ソルトを追加します。 各ソルトはパスワードごとにランダムに生成され、2つのパスワードが同じソルトを共有することがないため、セキュリティがさらに強化されます。