Quel est le type de données par un mot de passe dans PostgreSQL?

Je lire qu'il y a des types qui ne chiffrement ainsi les mots de passe sont sécurisés dans votre base de données.

J'utilise en ce moment varchar stocker des mots de passe. J'ai eu l'idée que je devrais en quelque sorte d'appliquer un algorithme SHA-512 fonction du mot de passe et de mettre les données quelque part, tels que le texte en clair le mot de passe est supprimé.

Cependant, le type de données en Perl me suggère qu'il existe une meilleure façon de PostgreSQL que varchar.

Quel est le type de données par un mot de passe dans PostgreSQL?

InformationsquelleAutor Léo Léopold Hertz 준영 | 2009-07-29
  1. 61

    Jeff a un bon article intitulé Vous êtes Probablement Stocker les mots de passe de manière Incorrecte. Cet article traite des différentes façons de stocker les mots de passe de bases de données, et certains des écueils les plus courants que vous pouvez rencontrer. En particulier, il traite de l'utilisation des algorithmes de hachage, tables arc-en-ciel, et l'utilisation de "sel" pour réduire le risque d'un compromis fichier de mot de passe.

    L'utilisation de la varchar type de données est parfaitement adaptée pour le stockage adéquate d'un mot de passe haché. Par exemple, voici une partie de mon compte réel, enregistrement à partir d'une base de données de production:

    => sélectionnez account_id, e-mail, le sel, le passhash de compte email = '[email protected]'; 
account_id | e-mail | sel | passhash 
------------+------------------+------------------+------------------------------------------ 
1 | [email protected] | GFR9uT4N4Tzl3vnK | 2c2bf00079a6d49a8f7fb17cefb52fdb41a4b043 
(1 ligne)

    Dans ce cas, passhash est la représentation hexadécimale de la SHA-1 du sel concaténé avec mon mot de passe.

    • Si le sel est différent pour chaque compte dans le tableau des Comptes?
    • Oui, en utilisant un autre le sel est nécessaire. Sinon, c'est juste le même que plus de sel à tous. Jeff couvre dans son article.
    • Excellent article qui vous faites allusion. L'auteur propose de (beaucoup) plus sels que vous utilisez, quelle est votre raison d'être beaucoup plus courte sels?
    • le sel dans mon exemple est d'environ 96 bits d'entropie, ce qui est plus que ce qui est typique d'un mot de passe de toute façon. Pas besoin d'aller beaucoup plus longtemps que cela.
    • Cette réponse a été rendu obsolète par l'utilisation des Gpu pour le craquage de mot de passe. SHA-1 n'est pas adapté mot de passe algorithme de hachage.
    • Utilisation scrypt à la place.
    • Suggestion: ne pas utiliser de colonne supplémentaire pour le sel. Enregistrer en tant que mot de passe comme ceci: {sel}{hash}

    InformationsquelleAutor Greg Hewgill
  2. 7

    Installer "chkpass module"

    Ce module implémente un type de données chkpass qui est conçu pour stocker les mots de passe cryptés.
    Vous avez besoin d'installer postgresql contrib paquet et exécutez la commande CREATE EXTENSION de commande à installer .

    Dans Ubuntu 12.04 il irait comme ceci:

    sudo apt-get install postgresql-contrib

    Redémarrer le serveur postgresql:

    sudo /etc/init.d/postgresql restart

    Tous d'extension disponibles sont:

    /opt/PostgreSQL/9.5/share/postgresql/extension/

    Vous pouvez maintenant exécuter le CRÉER commande d'EXTENSION.

    Exemple:

    CREATE EXTENSION chkpass;

CREATE TABLE accounts (username varchar(100), password chkpass);
INSERT INTO accounts(username, "password") VALUES ('user1', 'pass1');
INSERT INTO accounts(username, "password") VALUES ('user2', 'pass2');

select * from accounts where password='pass2';

    Retourne

    username | password
---------------------------
"user2"  | ":Sy8pO3795PW/k"
    • Quel est l'avantage de ce package en comparaison à grep de réponse où le sel et le hachage?
    • chkpass utilise la crypte de l'algorithme. De hachage est un algorithme qui a eu plusieurs cas de fuite de mots de passe en 2012. Le sel est une combinaison, d'accrétion avant le hachage qui augmente la sécurité. L'avantage de l'utilisation de chkpass est la facilité de comparaison textuelle.
    • Peut-admin voir ont la capacité de voir de vrais mots de passe? Je pense qu'ils ne devraient pas. Qu'est-ce que la crypte de l'algorithme?
    • Si c'est basé sur un algorithme, alors n'importe qui peut générer un arc-en-ciel de la table??
    InformationsquelleAutor Nery Jr
  3. 3

    Postgres version 9.4+ peut le faire plus intelligemment et de manière plus sécurisée à l'aide de pgcrypto extension comme l'explique: http://www.meetspaceapp.com/2016/04/12/passwords-postgresql-pgcrypto.html

    • Pouvez-vous expliquer les avantages et les inconvénients de l'extension plus clairement. Maintenant, votre réponse est la plupart du temps un lien seule réponse.
    • En 2019, ce qui conduit à le plus de la réponse correcte. Merci!
    • L'esprit même si, si vous envisagez de postgres comme un service, à l'aide de certains fournisseurs de cloud, vous pourriez ne pas avoir le contrôle d'installer pgcrypto extension de là. Méfiez-vous de l'écueil.
    InformationsquelleAutor Murali Mohan