Node の組み込み crypto モジュールは、ハッシュ化、暗号化、ランダム値、HMAC といった暗号機能を提供します。最も重要な実用的用途であるパスワードのハッシュ化には、決定的に重要なルールがあります。パスワードには高速な汎用ハッシュ(MD5/SHA-256)を決して使わないことです。
{ scrypt, randomBytes, timingSafeEqual } ;
{ promisify } ;
scryptAsync = (scrypt);
() {
salt = ().();
derived = (password, salt, );
;
}
() {
[salt, hash] = stored.();
derived = (password, salt, );
hashBuf = .(hash, );
(hashBuf, derived);
}
重要な点: scrypt(または bcrypt/argon2)は総当たりに抵抗するために意図的に低速です。パスワードごとに一意なソルトはレインボーテーブルを無効化します。そして timingSafeEqual はタイミング攻撃を防ぐためにハッシュを一定時間で比較します。
// ❌ 決してやってはいけない — SHA/MD5 は高速なので、攻撃者は毎秒数十億回推測できる
crypto.createHash("sha256").update(password).digest("hex");
高速なハッシュはファイルのチェックサムには問題ありませんが、パスワードには致命的です。その速度こそが総当たりを可能にする原因です。(実務では、ergonomics の観点から生の scrypt より bcrypt や argon2 のようなライブラリがよく好まれます。)
import crypto from "crypto";
crypto.randomBytes(32).toString("hex"); // 安全なランダムトークン(セッション ID、CSRF)
crypto.randomUUID(); // 安全な UUID v4
// HMAC — 完全性 / 真正性を検証する(例: webhook の署名)
crypto.createHmac("sha256", secret).update(payload).digest("hex");
// 秘密ではない完全性のためのハッシュ化(ファイルのチェックサム)— ここでは SHA で問題ない
crypto.createHash("sha256").update(fileBuffer).digest("hex");
パスワードの保存を正しく行うことは重要なセキュリティ上の責任であり、高速なハッシュを使ったりソルトを省いたりするのはよくある危険な間違いです。
crypto モジュール(あるいはより高レベルの bcrypt/argon2)は正しいプリミティブを提供します。パスワード向けの低速でソルト付きのハッシュ化、一定時間での比較、トークン向けの安全なランダム生成、そして(webhook の署名のような)完全性検証のための HMAC です。
パスワードが低速・ソルト付き・一定時間の扱いを必要とする理由と、高速なハッシュは秘密でないチェックサムにのみ使うべきだということを理解することは、ユーザーを認証情報の窃取にさらさない認証を構築するうえで不可欠です。