Score:0

pgcrypto และการแฮชรหัสผ่าน

ธง tk

ฉันกำลังคิดเกี่ยวกับทางเลือกของฉันเกี่ยวกับวิธีจัดเก็บรหัสผ่านใน Postgres

ตัวเลือกหนึ่งคือการใช้ pgcrypto. การอ่านเอกสารของพวกเขา ฉันเห็นว่าพวกเขา ห้องใต้ดิน และ gen_salt ฟังก์ชั่นไม่ได้ใช้ sha256 แต่ใช้รุ่นที่กำหนดเองของการเข้ารหัสที่เสียหาย md5. เหตุใดนักพัฒนา Postgres จึงใช้อัลกอริทึมการแฮชดังกล่าวสำหรับโมดูลจัดเก็บรหัสผ่านเนื่องจากไม่ปลอดภัย

ฉันคิดว่าฉันควรใช้โมดูล pgcrypto แทนโมดูล pgcrypto ที่เสียหาย (อย่างน้อยก็ในสายตาของฉัน) สร้างขึ้นในฟังก์ชันไบนารี sha256 ร่วมกับเกลือสุ่ม

Score:0
ธง cn

ใช้แฮชรหัสผ่านที่ดีซึ่งจะทำให้เดาได้ช้าลง หากคุณต้องการที่จะเก็บไว้ pgcrypto crypt() ที่ดีที่สุดในปัจจุบันคือ bf หรือที่รู้จักกันในนาม bcrypt ขึ้นอยู่กับปักเป้า.

หรือเลือกทางเลือกอื่นที่เป็น นักเข้ารหัสรู้จัก และมีการทดสอบการใช้งานเป็นอย่างดี โปรดทราบว่าสิ่งนี้อาจอยู่ในรหัสแอปพลิเคชัน crypt() เป็นฟังก์ชัน DBMS สะดวก แต่ไม่จำเป็น

อย่าลังเลที่จะถอดรหัสแฮชรหัสผ่านของคุณเอง เพื่อแสดงจำนวนการเดาต่อวินาทีที่ใช้ได้จริง

มีอัลกอริทึม md5 และ des ที่ล้าสมัยเนื่องจาก PostgreSQL นั้นเก่า แฮชรหัสผ่านยังคงมีอยู่ในตารางที่ไหนสักแห่ง ยังไม่ได้อัปเดตเนื่องจากผู้ใช้ไม่ได้เข้าสู่ระบบเป็นเวลาหลายปี

ผมว่าน่าจะใช้แทนหักนะครับ (อย่างน้อยก็เข้าตา) โมดูล pgcrypto ซึ่งเป็นฟังก์ชันไบนารีในตัว sha256 พร้อมด้วย a เกลือสุ่ม

อย่าใช้อัลกอริทึมแฮชรหัสผ่านของคุณเอง sha256 เป็นแฮชที่รวดเร็วซึ่งตรงกันข้ามกับรหัสผ่านที่ต้องการ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา