Wie kann ich Passwörter in Postgresql Hash?

Brauche ich für die hash-Passwörter mit salt auf postgresql, und ich habe nicht in der Lage zu finden alle relevanten Unterlagen auf, wie zu bekommen, dass getan.

Also, wie kann ich die hash-Passwörter (mit einigen Salzen) in postgresql?

InformationsquelleAutor der Frage Kzqai | 2010-04-15

  1. 67

    Es ist schon eine Weile her, seit ich diese Frage gestellt, und ich bin viel vertrauter mit der kryptographischen Theorie jetzt, also hier ist der modernere Ansatz:

    Argumentation

    • Nicht mit md5. Nicht mit einem einzigen Zyklus der sha-Familie quick-hashes. Schnelle hashes helfen, die Angreifer, so dass Sie nicht wollen, dass.
    • Verwenden Sie eine Ressource-intensive hash, wie bcrypt, statt. Bcrypt ist Zeit getestet und skaliert werden, um zukunftssicher zu können.
    • Nicht die Mühe, Ihre eigenen Rollen Salz, Sie könnten es vermasseln Ihre eigene Sicherheit oder die übertragbarkeit, verlassen Sie sich auf gen_salt() zu generieren, es ist genial, einzigartig-um-jeden-Einsatz-Salze.
    • Im Allgemeinen, nicht ein idiot sein, versuchen Sie nicht, schreiben Sie Ihre eigenen hausgemachten crypto, verwenden Sie einfach das, was kluge Leute zur Verfügung gestellt haben.

    Debian/Ubuntu-Pakete installieren,

    sudo apt-get install postgresql   // (of course)
sudo apt-get install postgresql-contrib libpq-dev   // (gets bcrypt, crypt() and gen_salt())
sudo apt-get install php5-pgsql   // (optional if you're using postgresql with php)

    Aktivieren crypt() und bcrypt in postgresql in Ihrer Datenbank

    // Create your database first, then:
cd `pg_config --sharedir` //Move to the postgres directory that holds these scripts.
echo "create extension pgcrypto" | psql -d yOuRdATaBaSeNaMe // enable the pgcrypo extension

    Verwenden Sie crypt() und gen_salt() in Abfragen

    Vergleichen :pass auf bestehende hash mit: 

    select * from accounts where password_hash = crypt(:pass, password_hash);
//(note how the existing hash is used as its own individualized salt)

    Erstellen Sie eine hash -: Passwort mit einer großen random salt:

    insert into accounts (password) values crypt(:password, gen_salt('bf', 8));
//(the 8 is the work factor)

    Ab-in-Php-bcrypt Hashen ist etwas vorzuziehen

    Gibt es password_* Funktionen in php 5.5 und höher, die es erlauben trivial einfache Passwort-hashing mit bcrypt (Zeit!), und es ist eine Abwärtskompatibilität Bibliothek für Versionen darunter. In der Regel , hashing fällt zurück auf die Verpackung einer linux-Systemaufrufe für niedrigere CPU-Auslastung trotzdem, obwohl möchten Sie vielleicht, um sicherzustellen, dass es auf Ihrem server installiert. Siehe: https://github.com/ircmaxell/password_compat (erfordert php 5.3.7+)

    Vorsichtig sein, die Protokollierung

    Beachten Sie, dass mit pg_crypto, die Passwörter sind im Klartext alle während der übertragung vom browser, der php in die Datenbank. Das bedeutet, Sie können protokolliert werden im Klartext von Abfragen wenn Sie nicht vorsichtig mit Ihren Datenbank-Protokolle. z.B. mit einer postgresql-slow-query-log fangen konnte und log-Passwort für eine login-Abfrage in progress.

    Zusammenfassend

    Php bcrypt, wenn Sie können, Sie werden verringern die Zeit, das Passwort bleibt unhashed. Versuchen Sie, um sicherzustellen, dass Ihr linux-system hat bcrypt installiert, es ist crypt() so, das ist performant. Upgrade auf mindestens php 5.3.7+ ist sehr zu empfehlen als php-Implementierung ist etwas buggy von php 5.3.0 auf 5.3.6.9 und unangemessen fällt zurück auf die gebrochene DES ohne Warnung in php 5.2.9 und niedriger.

    Wenn Sie wollen/brauchen-postgres-hashing, Installation bcrypt ist der Weg zu gehen, als die standardmäßig installierte hashes sind alt und kaputt (md5, etc).

    Hier sind Verweise auf weitere Lektüre zum Thema:

    InformationsquelleAutor der Antwort Kzqai

  2. 16

    Sollte eine Anwendung hash seine Passwörter mit Schlüssel Ableitung Funktion wie bcrypt oder pbkdf2. Hier gibt es mehr Informationen zu secure password storage.

    ... aber manchmal müssen Sie noch cryptogrpahic Funktionen in einer Datenbank.

    Können Sie pgcryptoum Zugang zu sha256, das ein Mitglied der sha2-Familie. Im Verstand halten, sha0,sha1 md4 und md5 sind sehr kaputt und sollte nie verwendet werden, für Passwort-hashes.

    Folgende ist eine gut Methode des hashing der Passwörter:

    digest("salt"||"password"||primary_key, "sha256")

    Das Salz sollte sein, eine große, zufällig generierte Wert. Dieses Salz sollten geschützt werden, da die hashes nicht gebrochen werden kann, bis das Salz zurückgewonnen. Wenn Sie die Speicherung der salt in der Datenbank, dann erhält man zusammen mit dem Passwort-hash mit sql-injection. Die Verkettung der Primärschlüssel wird verwendet, um zu verhindern, dass 2 Menschen aus, die das gleiche Passwort-hash, auch wenn Sie das gleiche Kennwort haben. Natürlich ist dieses system verbessert werden könnte, aber das ist viel besser als die meisten Systeme, die ich gesehen habe.

    In der Regel ist es am besten zu tun hashing in Ihrer Anwendung, bevor es auf die Datenbank. Dies ist, weil querys können zeigen, bis in den Protokollen, und wenn der Datenbank-server besessen wurde, dann könnten Sie die Protokollierung aktivieren, um Klartext-Passwörter.

    InformationsquelleAutor der Antwort rook

  3. 8

    Beispiele und Dokumentation zu: http://www.postgresql.org/docs/8.3/static/pgcrypto.html

    UPDATE ... SET pswhash = crypt('new password', gen_salt('md5'));

SELECT pswhash = crypt('entered password', pswhash) FROM ... ;

    InformationsquelleAutor der Antwort Matej Puntar

Schreibe einen Kommentar