パスワードを平文で送信するのはもうやめよう

· / ·

閲覧

AI翻訳簡体中文日本語

AI生成の要約

AI · GEN

はじめに

最近 Next.js でフロントエンドとバックエンドのプロジェクトをいくつか書き、その中で better-auth を使ってユーザー認証を行いました。

しかし、実践の中で AI が直接関連コードを書くと、簡単にパスワードが平文で送信されてしまうことがわかりました。本番環境では通常 HTTPS が使用され、トランスポート層ですでに TLS 暗号化されていますが、だからといってパスワードを平文でリクエストボディに入れてもいいというわけではありません。 HTTPS はブラウザから TLS 終端点（nginx など）までの通信の安全性しか保証できません。パスワードはリバースプロキシ、ゲートウェイ、ログ、データベースなどで依然として平文のまま残り、これらのアクセス権限を持つ人なら誰でも全員のアカウントにログインできてしまいます。個人プロジェクトではパスワード暗号化を無視してもいいかもしれませんが、これは明らかに製品として受け入れられるものではありません。

そのため、このブログ記事では better-auth を使用する際にアプリケーション層でパスワードに RSA 非対称暗号化を行う方法について解説します。この記事を AI に学習させれば他のプロジェクトでも同様の実装ができるかもしれませんが、MIT ライセンスに従ってクレジットを表示してください。詳細は記事の最後を参照してください。

全体の流れ

ユーザーがブラウザでパスワードを入力する。
フロントエンドが NEXT_PUBLIC_RSA_PUBLIC_KEY を読み込む。
RSA-OAEP を使ってパスワードを暗号化する。
暗号化パッケージにタイムスタンプ、ランダムソルト、リクエスト ID、HMAC 署名を添付する。
フロントエンドが暗号化された文字列を better-auth に渡す。
サーバー側で better-auth の password.hash / password.verify で復号する。
最終的にデータベースには bcrypt ハッシュのみを保存する。

この流れの中で、平文のパスワードはユーザーがパスワードを入力する時のみ現れます。

クライアント側の暗号化

CodeBlock Loading...

ここではパスワード自体だけを暗号化するのではなく、いくつかのフィールドを一緒に RSA 暗号文に入れています：

CodeBlock Loading...

それぞれ：

password はユーザーが入力した元のパスワード。
timestamp はリクエストが期限切れかどうかを判断するために使用。
salt は同じパスワードでも毎回異なる暗号文を生成するためのもの。
requestId はリプレイ攻撃を防ぐために使用。

ログインページでは、better-auth に送信する前にまず rsaEncrypt を呼び出します。

CodeBlock Loading...

登録時も同様です：

CodeBlock Loading...

これにより、パケットキャプチャで見える password フィールドは元のパスワードではなく、RSA 暗号化されたデータパッケージになります。

サーバー側の復号

まず秘密鍵で復号します：

CodeBlock Loading...

次に検証を行います：

CodeBlock Loading...

ここでは主に以下のことを行っています：

暗号化パッケージのフォーマットを確認。
タイムスタンプが期限切れかどうかを確認。
requestId が既に使用されているかどうかを確認。
RSA 秘密鍵で復号。
外側のタイムスタンプと内側のタイムスタンプが一致するかどうかを確認。
外側のリクエスト ID と内側のリクエスト ID が一致するかどうかを確認。
HMAC 署名を検証。
パスワードの bcrypt ハッシュを返す。

requestId の重複排除には Redis を使用します：

CodeBlock Loading...

つまり、最初のリクエストだけが書き込みに成功し、同じ requestId を再利用する後続のリクエストは拒否され、リプレイ攻撃を防ぎます。

公開鍵と秘密鍵のペアの生成コマンドは以下の通りです：

CodeBlock Loading...

もちろん ssh-keygen を直接使うことも可能です。また、秘密鍵の安全性を確保することは必須です。

better-auth の導入

better-auth はデフォルトでメールとパスワードによるログインを処理しますが、ここでは暗号化とハッシュ化を実現するためにパスワード処理ロジックをカスタマイズする必要があります。

CodeBlock Loading...

ここで一つの詳細があります：better-auth の minPasswordLength は 1 に、maxPasswordLength は 4096 に設定されています。その理由は、better-auth に渡されるのは元のパスワードではなく、RSA 暗号化されたデータパッケージだからです。デフォルトの長さ制限を使い続けると、better-auth の層で簡単にブロックされてしまいます。パスワードの長さを制限する必要がある場合は、クライアント側の rsaEncrypt で行うしかありません。

もちろん、better-auth はデフォルトではログインと登録のシナリオでのみパスワード検証が必要です。パスワード変更やアカウント削除などの場所では、rsaEncrypt と rsaDecryptAndValidate を再利用するだけで済みます。

better-auth のその他のセキュリティ設定

パスワード暗号化に加えて、betterAuth の初期化時にいくつかのセキュリティ項目を設定できます：

CodeBlock Loading...

意味は大まかに以下の通りです：

CSRF チェックを無効にしない。
本番環境で Secure Cookie を使用する。
Cookie に httpOnly を設定する。
Cookie に sameSite: "lax" を設定する。

また、ログイン、登録、パスワードリセットのレート制限：

CodeBlock Loading...

これにより、認証情報の流用、大量登録、メール送信スパムなどの問題を減らすことができます。

はじめに

最近 Next.js でフロントエンドとバックエンドのプロジェクトをいくつか書き、その中で better-auth を使ってユーザー認証を行いました。

全体の流れ

ユーザーがブラウザでパスワードを入力する。
フロントエンドが NEXT_PUBLIC_RSA_PUBLIC_KEY を読み込む。
RSA-OAEP を使ってパスワードを暗号化する。
暗号化パッケージにタイムスタンプ、ランダムソルト、リクエスト ID、HMAC 署名を添付する。
フロントエンドが暗号化された文字列を better-auth に渡す。
サーバー側で better-auth の password.hash / password.verify で復号する。
最終的にデータベースには bcrypt ハッシュのみを保存する。

この流れの中で、平文のパスワードはユーザーがパスワードを入力する時のみ現れます。

クライアント側の暗号化

export async function rsaEncrypt(password: string, publicKey: string): Promise<string> {
  const timestamp = Date.now().toString();
  const salt = generateSalt(16);
  const requestId = generateRequestId();
  const dataToEncrypt = `${password}|${timestamp}|${salt}|${requestId}`;
  const publicKeyObj = forge.pki.publicKeyFromPem(
    `-----BEGIN PUBLIC KEY-----\n${publicKey}\n-----END PUBLIC KEY-----`,
  );
  const encrypted = publicKeyObj.encrypt(dataToEncrypt, "RSA-OAEP", {
    md: forge.md.sha256.create(),
    mgf1: {
      md: forge.md.sha256.create(),
    },
  });
  const encryptedData = forge.util.encode64(encrypted);
  const hmacKey = forge.md.sha256.create()
    .update(timestamp + salt)
    .digest()
    .toHex();
  const signature = computeHMAC(encryptedData, hmacKey);
  return `${encryptedData}$${signature}$${timestamp}$${requestId}`;
}

CodeBlock Loading...

ここではパスワード自体だけを暗号化するのではなく、いくつかのフィールドを一緒に RSA 暗号文に入れています：

TEXT

password|timestamp|salt|requestId

CodeBlock Loading...

それぞれ：

password はユーザーが入力した元のパスワード。
timestamp はリクエストが期限切れかどうかを判断するために使用。
salt は同じパスワードでも毎回異なる暗号文を生成するためのもの。
requestId はリプレイ攻撃を防ぐために使用。

ログインページでは、better-auth に送信する前にまず rsaEncrypt を呼び出します。

await authClient.signIn.email({
  email: formData.email,
  password: await rsaEncrypt(formData.password, publicKey),
  rememberMe,
  callbackURL: callbackUrl,
});

CodeBlock Loading...

登録時も同様です：

await authClient.signUp.email({
  email: formData.email,
  password: await rsaEncrypt(formData.password, publicKey),
  name: formData.name,
  organization: formData.organization,
  callbackURL: "/sign-up",
});

CodeBlock Loading...

これにより、パケットキャプチャで見える password フィールドは元のパスワードではなく、RSA 暗号化されたデータパッケージになります。

サーバー側の復号

まず秘密鍵で復号します：

const rsaDecrypt = (encryptedData: string): string => {
  const encryptedBytes = forge.util.decode64(encryptedData);
  const privateKey = forge.pki.privateKeyFromPem(privateKeyText);
  const decryptedBytes = privateKey.decrypt(encryptedBytes, "RSA-OAEP", {
    md: forge.md.sha256.create(),
    mgf1: {
      md: forge.md.sha256.create(),
    },
  });
  return decryptedBytes;
};

CodeBlock Loading...

次に検証を行います：

export const rsaDecryptAndValidate = async (encryptedPackage: string): Promise<string> => {
  const parts = encryptedPackage.split("$");
  if (parts.length !== 4) {
    throw new Error("無効なデータパッケージ形式");
  }
  const [encryptedData, signature, timestampStr, requestId] = parts;
  if (!validateTimestamp(timestampStr)) {
    throw new Error("リクエストが期限切れです。やり直してください");
  }
  const isNew = await validateRequestId(requestId);
  if (!isNew) {
    throw new Error("無効なリクエストです。やり直してください");
  }
  const decryptedData = rsaDecrypt(encryptedData);
  const dataParts = decryptedData.split("|");
  if (dataParts.length !== 4) {
    throw new Error("無効なデータ形式");
  }
  const [actualPassword, innerTimestamp, salt, innerRequestId] = dataParts;
  if (innerTimestamp !== timestampStr) {
    throw new Error("データ整合性の検証に失敗");
  }
  if (innerRequestId !== requestId) {
    throw new Error("データ整合性の検証に失敗");
  }
  const hmacKey = forge.md.sha256.create()
    .update(timestampStr + salt)
    .digest()
    .toHex();
  const expectedSignature = computeHMAC(encryptedData, hmacKey);
  if (signature !== expectedSignature) {
    throw new Error("データ整合性の検証に失敗");
  }
  if (!actualPassword) {
    throw new Error("パスワードは空にできません");
  }
  return actualPassword;
};

CodeBlock Loading...

ここでは主に以下のことを行っています：

暗号化パッケージのフォーマットを確認。
タイムスタンプが期限切れかどうかを確認。
requestId が既に使用されているかどうかを確認。
RSA 秘密鍵で復号。
外側のタイムスタンプと内側のタイムスタンプが一致するかどうかを確認。
外側のリクエスト ID と内側のリクエスト ID が一致するかどうかを確認。
HMAC 署名を検証。
パスワードの bcrypt ハッシュを返す。

requestId の重複排除には Redis を使用します：

const result = await redisClient.set(key, "1", {
  NX: true,
  EX: REQUEST_ID_TTL,
});

CodeBlock Loading...

つまり、最初のリクエストだけが書き込みに成功し、同じ requestId を再利用する後続のリクエストは拒否され、リプレイ攻撃を防ぎます。

公開鍵と秘密鍵のペアの生成コマンドは以下の通りです：

BASH

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out private_key.pem
openssl rsa -in private_key.pem -pubout -out public_key.pem

CodeBlock Loading...

もちろん ssh-keygen を直接使うことも可能です。また、秘密鍵の安全性を確保することは必須です。

better-auth の導入

export const auth = betterAuth({
  emailAndPassword: {
    enabled: true,
    minPasswordLength: 1,
    maxPasswordLength: 4096,
    requireEmailVerification: true,
    password: {
      hash: async (password) => {
        const decryptedPassword = await rsaDecryptAndValidate(password);
        return bcrypt.hash(decryptedPassword, 10);
      },
      verify: async ({ hash, password }) => {
        const decryptedPassword = await rsaDecryptAndValidate(password);
        return bcrypt.compare(decryptedPassword, hash);
      },
    },
  },
});

CodeBlock Loading...

better-auth のその他のセキュリティ設定

パスワード暗号化に加えて、betterAuth の初期化時にいくつかのセキュリティ項目を設定できます：

advanced: {
  disableCSRFCheck: false,
  useSecureCookies: isProduction,
  defaultCookieAttributes: {
    sameSite: "lax",
    httpOnly: true,
    secure: isProduction,
    path: "/",
  },
}

CodeBlock Loading...

意味は大まかに以下の通りです：

CSRF チェックを無効にしない。
本番環境で Secure Cookie を使用する。
Cookie に httpOnly を設定する。
Cookie に sameSite: "lax" を設定する。

また、ログイン、登録、パスワードリセットのレート制限：

rateLimit: {
  enabled: isProduction,
  customRules: {
    "/sign-up/email": {
      window: 60,
      max: 1,
    },
    "/request-password-reset": {
      window: 60,
      max: 1,
    },
    "/sign-in/email": {
      window: 30,
      max: 5,
    },
  },
}

CodeBlock Loading...

これにより、認証情報の流用、大量登録、メール送信スパムなどの問題を減らすことができます。