Puncte:0

pgcrypto și hashing parole

drapel tk

Mă gândesc la alegerile mele cu privire la modul de stocare a parolelor în Postgres.

O astfel de opțiune este utilizarea pgcrypto. Citind documentele lor, văd că lor criptă și gen_salt funcțiile nu folosesc sha256, ci în schimb folosesc versiunea personalizată a ruptului criptografic md5. De ce ar folosi dezvoltatorii Postgres un astfel de algoritm de hashing pentru modulul lor de stocare a parolelor, având în vedere că nu este sigur?

Presupun că ar trebui să folosesc, în loc de modulul pgcrypto rupt (cel puțin în ochii mei), construit în funcție binară sha256 împreună cu o sare la întâmplare.

Puncte:0
drapel cn

Utilizați un hash de parole bun care încetinește presupunerile. Dacă preferați să păstrați pgcrypto cel mai bun crypt() al său este în prezent bf, alias bcrypt bazat pe Blowfish.

Sau selectați o alternativă care este cunoscut de criptografi și are implementări bine testate. Rețineți că acest lucru ar putea fi în codul aplicației. crypt() ca funcție DBMS este convenabilă, dar nu este necesară.

Simțiți-vă liber să spargeți propriile dvs. hash-uri de parolă, pentru a arăta câte ghiciri pe secundă sunt practice.

Algoritmii md5 și des învechiți există deoarece PostgreSQL este vechi. Hashe-urile parolelor încă există undeva în tabele, neactualizate încă, deoarece utilizatorii lor nu s-au conectat de mulți ani.

Presupun că ar trebui să folosesc, în loc de rupt (cel puțin în ochii mei) Modulul pgcrypto, funcția binară încorporată sha256 împreună cu a sare la întâmplare.

Nu rulați propriul algoritm de hash al parolei. sha256 este un hash rapid, opusul a ceea ce are nevoie o parolă.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.