会員制コミュニティサイトの、パスワードの自動生成プログラム・認証プログラムに関する質問です

■内容（全体の流れ）
(1)メールアドレス等入力
(2)自動返信メールにて登録完了の通知
(3)パスワード申請ＵＲＬにてパスワードを申請
(4)自動返信メールにて、パスワードを送付。
(5)ログイン画面で、ログインする。
(6)ログイン後は、会員専用のＰＤＦ文書がダウンロードできる。

この中の(5)で、正しいパスワードを入力しても「パスワードが間違っています」というエラー表示がでるようになりました。


■問題解決に必要と思われる情報

１．パスワード生成は、<stdio.pl> CGI Standard Input Output Library Ver 3.36

２．不可逆のパスワード生成cryptを使っている？
　　print FILE "$Form{'mail'}:" . stdio'CryptString($passwd) . ":" . time . ":" . time . "\n";

３．レンタルサーバを変更したら問題が発生した。またパスワード記録ファイルの文字数が変わった。

問題なし：ギガバイズ　http://saya.g--z.com/
xxxxxx@**.com:l/nloYYiaSdi6:986364127:986364127

問題あり：ＣＰＩ　http://www.cpi.ad.jp/
xxxxxx@**.com:$1$LN$iBFSFm4u1KoaMoXXUB5xh.:1109749957:1109749957

※xxxxxx@**.comは、メールアドレス
※ロリポップレンタルサーバでも問題なく動作した。

５．ユーザーに送られてくるパスワードの文字数は、８文字。
例：d8DHy4iy　（３で記載したＣＰＩで生成された、ユーザーへ送られたパスワード）

私の推測では、サーバを変えたことによりパスワードの暗号化の方法が変わり、認証の際に登録時のパスワードと相違が発生しているのではないか、と考えています。
対処法お分かりになる方がいらっしゃいましたら教えてください。
どうぞよろしくお願い致します。

No.1 ベストアンサー 回答者： Ethersky 回答日時： 2005/03/02 21:51

> サーバを変えたことによりパスワードの暗号化の方法が変わり、・・・

まさにその通りです。
今回の場合、
CPIの方でcryptが吐き出しているのが$1$で始まるMD5ですね。
ギガバイズの方はDESです。

よって、両者が吐き出すcrypt後の文字列が異なるために「パスワードが間違っています」になってしまうのでしょう。

対処法としては、
・どちらか一方に統一
・crypt関数を使わず別の方法を採る
の二つがあります。

前者の方は、サーバーの仕様による違いなのでどうしようもないですが、
DESに統一する場合は、故 小塚 敦さんが作成されたライブラリを使用することができます。
http://mikeneko.creator.club.ne.jp/~lab/perl/des/
これを使った場合は、サーバーの環境を問わずDESで暗号化した形のものを常に取得することができます。
ただし、PurePerlである分、通常のcrypt関数を使うときよりもサーバーへの負担は高いです。
（単発ならいいですが連続使用する場合は注意が必要です）

後者の方法としては、
・各種ハッシュ関数を使ったハッシュにして扱う
・パスワードをそのまま（生のまま）扱う
があります。

ハッシュで使う場合は、お馴染みのMD5、SHA1をはじめとしてSHA256、384、512やRIPEMD160、256・・・等を使うことになります。
ただし、後者の二つは既存の記録ファイルから元のパスワードを導くことができないので、今回の場合は前者の「どちらかに統一」の方法を採ることになるでしょう。
（個人的なお奨めはハッシュを利用したものですが）

No.2 回答者： steel_gray 回答日時： 2005/03/02 21:52

問題の原因は推測どおりサーバによる違いです。

参考URL1

stdio'CryptString の中身までみていませんが、
検索してみたところ、cryptがMD5で動作する環境でDES方式の暗号化を行うライブラリ(参考URL2)がありましたので、crypt関数を使っている部分をこのモジュールに差し替えればうまく動きそうな気がします。

参考URL：http://tech.bayashi.net/pdmemo/crypt.html,http:/ …