パスワードを平文で送信するのはもうやめましょう

· / ·

閲覧

AI翻訳簡体中文日本語

主要な洞察

AI · GEN

はじめに

最近 Next.js を使ってフロントエンドとバックエンドのプロジェクトをいくつか作成し、その中で better-auth をユーザー認証に使用しました。

しかし実際に使ってみると、AI が直接関連コードを書くとパスワードを平文で送信してしまいがちです。本番環境では通常 HTTPS が使われ、トランスポート層では TLS 暗号化が行われていますが、だからといってパスワードを平文のままリクエストボディに含めても良いわけではありません。

HTTPS はブラウザから TLS 終端（nginx など）までの間の伝送セキュリティを保証するだけで、パスワードはリバースプロキシ、ゲートウェイ、ログ、データベースなどで依然として平文のまま現れます。つまり、これらのアクセス権限を取得できた者は誰でも全ユーザーのアカウントにログインできてしまいます。個人プロジェクトであればパスワード暗号化を無視しても構いませんが、製品としては到底受け入れられません。

そこでこのブログ記事を書きました。better-auth を使用する際にアプリケーション層でパスワードを RSA 非対称暗号化する方法を解説します。この内容を AI に与えれば他のプロジェクトでも同様の実装ができるかもしれませんが、MIT ライセンスに従ってクレジットを表示してください。詳細は文末をご覧ください。

全体の流れ

ユーザーがブラウザでパスワードを入力します。
フロントエンドが NEXT_PUBLIC_RSA_PUBLIC_KEY を読み取ります。
RSA-OAEP を使用してパスワードを暗号化します。
暗号化パッケージにはタイムスタンプ、ランダムソルト、リクエスト ID、HMAC 署名が含まれます。
フロントエンドが暗号化された文字列を better-auth に渡します。
サーバー側で better-auth の password.hash / password.verify 内で復号します。
最終的にデータベースには bcrypt ハッシュのみが保存されます。

この流れ全体で、平文のパスワードはユーザーがパスワードを入力するときだけ現れます。

クライアント側の暗号化

CodeBlock Loading...

ここではパスワードだけを暗号化するのではなく、いくつかのフィールドをまとめて RSA 暗号文に入れています：

CodeBlock Loading...

その内訳：

password はユーザーが入力した元のパスワードです。
timestamp はリクエストが期限切れかどうかを判断するために使います。
salt は同じパスワードでも毎回異なる暗号文を生成するために使います。
requestId はリプレイ攻撃を防ぐために使います。

ログインページでは、better-auth に送信する前に rsaEncrypt を呼び出します。

CodeBlock Loading...

登録時も同様です：

CodeBlock Loading...

こうすることでパケットキャプチャで見える password フィールドは元のパスワードではなく、RSA 暗号化されたデータパケットになります。

サーバー側の復号

まず秘密鍵で復号します：

CodeBlock Loading...

その後、一括して検証を行います：

CodeBlock Loading...

ここでは主に以下のことを行っています：

暗号化パッケージの形式をチェックします。
タイムスタンプが期限切れでないかチェックします。
requestId が既に使用されていないかチェックします。
RSA 秘密鍵で復号します。
外側のタイムスタンプと内側のタイムスタンプが一致するかチェックします。
外側のリクエスト ID と内側のリクエスト ID が一致するかチェックします。
HMAC 署名を検証します。
パスワードの bcrypt ハッシュを返します。

requestId の重複排除には Redis を使用します：

CodeBlock Loading...

つまり、最初のリクエストだけが書き込みに成功し、同じ requestId を後から再利用すると拒否されるため、リプレイ攻撃を防ぎます。

公開鍵と秘密鍵のペアを生成するコマンドは以下の通りです：

CodeBlock Loading...

もちろん ssh-keygen を直接使うことも可能です。そして、秘密鍵の安全は必ず確保してください。

better-auth への組み込み

better-auth はデフォルトでメールアドレスとパスワードのログインを処理しますが、ここでは暗号化とハッシュ化を実現するためにパスワード処理ロジックをカスタマイズする必要があります。

CodeBlock Loading...

ここで一つ注意点があります。better-auth の minPasswordLength は 1 に、maxPasswordLength は 4096 に設定されています。
理由は、better-auth に渡されるのは元のパスワードではなく、RSA 暗号化されたデータパケットだからです。デフォルトの長さ制限をそのまま使うと、better-auth の層で簡単にブロックされてしまいます。
パスワードの長さを制限したい場合は、クライアント側の rsaEncrypt 内で行う必要があります。

もちろん、better-auth はデフォルトでログインと登録の場面でのみパスワードの検証が必要です。パスワード変更やアカウント削除などの場面では、rsaEncrypt と rsaDecryptAndValidate を再利用するだけで済みます。

better-auth のその他のセキュリティ設定

パスワード暗号化に加えて、betterAuth の初期化時にいくつかのセキュリティ項目を設定できます：

CodeBlock Loading...

その意味はおおよそ以下の通りです：

CSRF チェックを無効にしない。
本番環境では Secure Cookie を使用する。
Cookie に httpOnly を設定する。
Cookie に sameSite: "lax" を設定する。

そして、ログイン、登録、パスワード再設定のレート制限：

CodeBlock Loading...

これにより、クレデンシャルスタッフィング、大量登録、大量メール送信などの問題を軽減できます。

はじめに

最近 Next.js を使ってフロントエンドとバックエンドのプロジェクトをいくつか作成し、その中で better-auth をユーザー認証に使用しました。

全体の流れ

ユーザーがブラウザでパスワードを入力します。
フロントエンドが NEXT_PUBLIC_RSA_PUBLIC_KEY を読み取ります。
RSA-OAEP を使用してパスワードを暗号化します。
暗号化パッケージにはタイムスタンプ、ランダムソルト、リクエスト ID、HMAC 署名が含まれます。
フロントエンドが暗号化された文字列を better-auth に渡します。
サーバー側で better-auth の password.hash / password.verify 内で復号します。
最終的にデータベースには bcrypt ハッシュのみが保存されます。

この流れ全体で、平文のパスワードはユーザーがパスワードを入力するときだけ現れます。

クライアント側の暗号化

export async function rsaEncrypt(password: string, publicKey: string): Promise<string> {
  const timestamp = Date.now().toString();
  const salt = generateSalt(16);
  const requestId = generateRequestId();
  const dataToEncrypt = `${password}|${timestamp}|${salt}|${requestId}`;
  const publicKeyObj = forge.pki.publicKeyFromPem(
    `-----BEGIN PUBLIC KEY-----\n${publicKey}\n-----END PUBLIC KEY-----`,
  );
  const encrypted = publicKeyObj.encrypt(dataToEncrypt, "RSA-OAEP", {
    md: forge.md.sha256.create(),
    mgf1: {
      md: forge.md.sha256.create(),
    },
  });
  const encryptedData = forge.util.encode64(encrypted);
  const hmacKey = forge.md.sha256.create()
    .update(timestamp + salt)
    .digest()
    .toHex();
  const signature = computeHMAC(encryptedData, hmacKey);
  return `${encryptedData}$${signature}$${timestamp}$${requestId}`;
}

CodeBlock Loading...

ここではパスワードだけを暗号化するのではなく、いくつかのフィールドをまとめて RSA 暗号文に入れています：

TEXT

password|timestamp|salt|requestId

CodeBlock Loading...

その内訳：

password はユーザーが入力した元のパスワードです。
timestamp はリクエストが期限切れかどうかを判断するために使います。
salt は同じパスワードでも毎回異なる暗号文を生成するために使います。
requestId はリプレイ攻撃を防ぐために使います。

ログインページでは、better-auth に送信する前に rsaEncrypt を呼び出します。

await authClient.signIn.email({
  email: formData.email,
  password: await rsaEncrypt(formData.password, publicKey),
  rememberMe,
  callbackURL: callbackUrl,
});

CodeBlock Loading...

登録時も同様です：

await authClient.signUp.email({
  email: formData.email,
  password: await rsaEncrypt(formData.password, publicKey),
  name: formData.name,
  organization: formData.organization,
  callbackURL: "/sign-up",
});

CodeBlock Loading...

こうすることでパケットキャプチャで見える password フィールドは元のパスワードではなく、RSA 暗号化されたデータパケットになります。

サーバー側の復号

まず秘密鍵で復号します：

const rsaDecrypt = (encryptedData: string): string => {
  const encryptedBytes = forge.util.decode64(encryptedData);
  const privateKey = forge.pki.privateKeyFromPem(privateKeyText);
  const decryptedBytes = privateKey.decrypt(encryptedBytes, "RSA-OAEP", {
    md: forge.md.sha256.create(),
    mgf1: {
      md: forge.md.sha256.create(),
    },
  });
  return decryptedBytes;
};

CodeBlock Loading...

その後、一括して検証を行います：

export const rsaDecryptAndValidate = async (encryptedPackage: string): Promise<string> => {
  const parts = encryptedPackage.split("$");
  if (parts.length !== 4) {
    throw new Error("無効なデータパケット形式");
  }
  const [encryptedData, signature, timestampStr, requestId] = parts;
  if (!validateTimestamp(timestampStr)) {
    throw new Error("リクエストが期限切れです。再試行してください");
  }
  const isNew = await validateRequestId(requestId);
  if (!isNew) {
    throw new Error("無効なリクエストです。再試行してください");
  }
  const decryptedData = rsaDecrypt(encryptedData);
  const dataParts = decryptedData.split("|");
  if (dataParts.length !== 4) {
    throw new Error("無効なデータ形式");
  }
  const [actualPassword, innerTimestamp, salt, innerRequestId] = dataParts;
  if (innerTimestamp !== timestampStr) {
    throw new Error("データ整合性検証に失敗しました");
  }
  if (innerRequestId !== requestId) {
    throw new Error("データ整合性検証に失敗しました");
  }
  const hmacKey = forge.md.sha256.create()
    .update(timestampStr + salt)
    .digest()
    .toHex();
  const expectedSignature = computeHMAC(encryptedData, hmacKey);
  if (signature !== expectedSignature) {
    throw new Error("データ整合性検証に失敗しました");
  }
  if (!actualPassword) {
    throw new Error("パスワードは空にできません");
  }
  return actualPassword;
};

CodeBlock Loading...

ここでは主に以下のことを行っています：

暗号化パッケージの形式をチェックします。
タイムスタンプが期限切れでないかチェックします。
requestId が既に使用されていないかチェックします。
RSA 秘密鍵で復号します。
外側のタイムスタンプと内側のタイムスタンプが一致するかチェックします。
外側のリクエスト ID と内側のリクエスト ID が一致するかチェックします。
HMAC 署名を検証します。
パスワードの bcrypt ハッシュを返します。

requestId の重複排除には Redis を使用します：

const result = await redisClient.set(key, "1", {
  NX: true,
  EX: REQUEST_ID_TTL,
});

CodeBlock Loading...

つまり、最初のリクエストだけが書き込みに成功し、同じ requestId を後から再利用すると拒否されるため、リプレイ攻撃を防ぎます。

公開鍵と秘密鍵のペアを生成するコマンドは以下の通りです：

BASH

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private_key.pem
openssl rsa -in private_key.pem -pubout -out public_key.pem

CodeBlock Loading...

もちろん ssh-keygen を直接使うことも可能です。そして、秘密鍵の安全は必ず確保してください。

better-auth への組み込み

export const auth = betterAuth({
  emailAndPassword: {
    enabled: true,
    minPasswordLength: 1,
    maxPasswordLength: 4096,
    requireEmailVerification: true,
    password: {
      hash: async (password) => {
        const decryptedPassword = await rsaDecryptAndValidate(password);
        return bcrypt.hash(decryptedPassword, 10);
      },
      verify: async ({ hash, password }) => {
        const decryptedPassword = await rsaDecryptAndValidate(password);
        return bcrypt.compare(decryptedPassword, hash);
      },
    },
  },
});

CodeBlock Loading...

better-auth のその他のセキュリティ設定

パスワード暗号化に加えて、betterAuth の初期化時にいくつかのセキュリティ項目を設定できます：

advanced: {
  disableCSRFCheck: false,
  useSecureCookies: isProduction,
  defaultCookieAttributes: {
    sameSite: "lax",
    httpOnly: true,
    secure: isProduction,
    path: "/",
  },
}

CodeBlock Loading...

その意味はおおよそ以下の通りです：

CSRF チェックを無効にしない。
本番環境では Secure Cookie を使用する。
Cookie に httpOnly を設定する。
Cookie に sameSite: "lax" を設定する。

そして、ログイン、登録、パスワード再設定のレート制限：

rateLimit: {
  enabled: isProduction,
  customRules: {
    "/sign-up/email": {
      window: 60,
      max: 1,
    },
    "/request-password-reset": {
      window: 60,
      max: 1,
    },
    "/sign-in/email": {
      window: 30,
      max: 5,
    },
  },
}

CodeBlock Loading...

これにより、クレデンシャルスタッフィング、大量登録、大量メール送信などの問題を軽減できます。