ฉันกำลังคิดเกี่ยวกับทางเลือกของฉันเกี่ยวกับวิธีจัดเก็บรหัสผ่านใน Postgres
ตัวเลือกหนึ่งคือการใช้ pgcrypto. การอ่านเอกสารของพวกเขา ฉันเห็นว่าพวกเขา ห้องใต้ดิน และ gen_salt ฟังก์ชั่นไม่ได้ใช้ sha256 แต่ใช้รุ่นที่กำหนดเองของการเข้ารหัสที่เสียหาย md5. เหตุใดนักพัฒนา Postgres จึงใช้อัลกอริทึมการแฮชดังกล่าวสำหรับโมดูลจัดเก็บรหัสผ่านเนื่องจากไม่ปลอดภัย
ฉันคิดว่าฉันควรใช้โมดูล pgcrypto แทนโมดูล pgcrypto ที่เสียหาย (อย่างน้อยก็ในสายตาของฉัน) สร้างขึ้นในฟังก์ชันไบนารี sha256 ร่วมกับเกลือสุ่ม
ใช้แฮชรหัสผ่านที่ดีซึ่งจะทำให้เดาได้ช้าลง หากคุณต้องการที่จะเก็บไว้ pgcrypto crypt() ที่ดีที่สุดในปัจจุบันคือ bf หรือที่รู้จักกันในนาม bcrypt ขึ้นอยู่กับปักเป้า.
หรือเลือกทางเลือกอื่นที่เป็น นักเข้ารหัสรู้จัก และมีการทดสอบการใช้งานเป็นอย่างดี โปรดทราบว่าสิ่งนี้อาจอยู่ในรหัสแอปพลิเคชัน crypt() เป็นฟังก์ชัน DBMS สะดวก แต่ไม่จำเป็น
อย่าลังเลที่จะถอดรหัสแฮชรหัสผ่านของคุณเอง เพื่อแสดงจำนวนการเดาต่อวินาทีที่ใช้ได้จริง
มีอัลกอริทึม md5 และ des ที่ล้าสมัยเนื่องจาก PostgreSQL นั้นเก่า แฮชรหัสผ่านยังคงมีอยู่ในตารางที่ไหนสักแห่ง ยังไม่ได้อัปเดตเนื่องจากผู้ใช้ไม่ได้เข้าสู่ระบบเป็นเวลาหลายปี
ผมว่าน่าจะใช้แทนหักนะครับ (อย่างน้อยก็เข้าตา) โมดูล pgcrypto ซึ่งเป็นฟังก์ชันไบนารีในตัว sha256 พร้อมด้วย a เกลือสุ่ม
อย่าใช้อัลกอริทึมแฮชรหัสผ่านของคุณเอง sha256 เป็นแฮชที่รวดเร็วซึ่งตรงกันข้ามกับรหัสผ่านที่ต้องการ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
