htpasswd неточна перевірка

I found an interesting thing. I've setup Nginx for Base Auth with htpasswd file. Everything works fine, but the passwords like gain access as well as .

Це нормально? Це проблема тільки з Nginx або пов'язана з методом крипта, що використовується як в Nginx, так і в Apache?

0

1 Відповіді

Я поділився цим з адміністратором нашого сервера. І він знайшов відповідь: Алгоритм crypt хеширует лише перші 8 символів, тому якщо ваш пароль довший ніж 8 символів, це не покращує стійкість до фальсифікацій. Якщо ваш пароль має довжину 6 символів, скажімо

passwd

Basic auth will refuse password like passwd01

Якщо ви користуєтеся утилітою htpasswd і хочете, щоб ваші паролі були довшими за 8 символів, щоб покращити сили криптографії, ви можете шифрувати їх за допомогою md5 або sha алгоритм ( -m і модифікатори -s відповідно).

Отже, ваша пропозиція

це пов'язано з методом крипта, що використовується як в Nginx, так і в Apache

правильно

Доказ можна знайти на сторінці GNU.org libc 32.3 Шифрування паролів :

Для алгоритму, основаного на DES, сіль повинна складатися з двох символів з алфавіту ./0-9A-Zаz, а результатом склепа будуть ті два символи, а потім ще 11 з того ж абетки, 13 загалом. Лише перші 8 символів у ключовому порядку є значними .

1
додано