Hinzufügen von Salz .htpasswd?
Ist es möglich, hinzufügen von Salz, um Passwörter in .hpasswd Dateien? Ich vermute nicht, da die server müssten das Salz für jeden Benutzer, um zu bestätigen Sie das Kennwort, und ich kann nicht glauben, wie es Ihnen bekommen ist, aber ansonsten, wenn die Liste war zu erhalten, es wäre ziemlich anfällig. Gibt es eine Lösung?
Vielen Dank für Eure Hilfe,
Ben
Was ist so schlimm daran, SHA-Verschlüsselung (kann als option angegeben werden mit htpasswd), dass Sie möchten, um ein Salz der hash? Ist das nicht " Auth Digest-eine option für Sie, wo Sie das Kennwort des Benutzers gesendet wird, wird aufgewärmt mit nonces?
Siehe meine (aktualisierte) Antwort - SHA-digests generiert
Siehe meine (aktualisierte) Antwort - SHA-digests generiert
htpasswd
sind trivial rückgängig zu machen.
InformationsquelleAutor Ben | 2010-11-14
Du musst angemeldet sein, um einen Kommentar abzugeben.
Standardmäßig htpasswd verwendet die standard - Krypta Funktion und somit Passwörter sind schon gesalzen - beachten Sie, dass in diesem Beispiel beide Benutzer das gleiche Passwort noch die hashes unterschiedlich sind:
(Hinweis: die
-b
flag wird normalerweise abgeraten, weil andere Benutzer können die command-line arguments und damit das Passwort)Die ersten beiden Zeichen des hash sind das Salz; Passwörter überprüft werden durch Aufruf
crypt()
wieder. Die Eingabe des falschen Passworts erzeugt eine Zeichenfolge, die ungleich der gehashte Passwort:in der Erwägung, dass das richtige Passwort erzeugt den erwarteten hash:
htpasswd -m
verwendet einen anderen Algorithmus, MD5-basiert und verwendet eine mehr Salz:Hier, das Salz der 8-Zeichen zwischen die zweite und Dritte
$
.htpasswd -s
speichert ein SHA-1-digest mit kein Salz; dies scheint für die Kompatibilität mit Netscape/LDIF:Diese können leicht rückgängig gemacht werden - konvertieren Sie in eine hex-digest:
dann ein online hash-Datenbank.
Ein weiterer Punkt zu seinen Gunsten ist, dass die MD5-Algorithmus wiederholt die hashing-1000 mal ("wesentliche Stärkung"), wodurch brute-force-cracking mehr Zeit in Anspruch. Diese Frage hat code zu fordern, die den Algorithmus implementieren: stackoverflow.com/questions/1038791/...
Das ist absolut genial! Ich habe dort viel gelernt, und der PHP-code funktioniert perfekt. Danke!
Die obligatorischen Anmerkungen: 1) Hash-Funktionen (SHA1, MD5, crypt) nicht verschlüsseln. Ihre Aufgabe ist es, wegzuwerfen, Informationen kreativ. 2) die SHA1-nicht (bisher) Umgekehrt werden. Das heißt, die Menschen weitergegeben haben (Hashwert mit SHA1) eine erstaunlich große Anzahl der möglichen Passwörter, und suchen können, die sehr schnell Ergebnisse (rainbow-Tabellen). Da es kein Salz ist, ist es sehr wahrscheinlich, dass jede kurz-oder unsicheres Passwort ist in einer rainbow-table-und dass es möglich ist zu bestimmen, der die Passwörter aus dem hash.
online hash-Datenbank link ist tot, dies ist ein guter Ersatz: hashkiller.co.uk/sha1-decrypter.aspx
InformationsquelleAutor SimonJ
Den
htpasswd
utility führt bereits die Verwendung Salzen in den meisten Fällen:- Und das ist (sozusagen) der Zweck der Salze in der Passwort-Dateien. Während Salze enthalten sein müssen, in der server
.htpasswd
- Datei für den server in der Lage sein zu überprüfen, Passwörter, ist es die vielen verschiedenen Möglichkeiten, was für ein Salz sein könnte, verteidigt sich gegen einen solchen Angriff-Techniken, wie Regenbogen-Tabellen.Allerdings, wenn die Benutzer wählen schwache oder gemeinsamen Passwörtern, Passwort-cracking ist sowieso ein problem, da der Angreifer (vorausgesetzt, um Zugriff auf die Passwort-Datei) wird versuchen, diese erste, sehr schnell in der Tat (nicht nur von der Geschwindigkeit der server und Internet-Verbindung), durch raten, die in der üblichen Weise. Der beste Rat, den ich geben kann ist, dass die Nutzer sollten immer wählen Sie starke Passwörter.
InformationsquelleAutor PleaseStand