MariaDB: аутентификация по паролю По умолчанию, не достаточно хорошая?

Question 1

Я исследовал в течение нескольких часов "лучшую практику" для создания второго счета на mysql базу данных с помощью аутентификации по паролю вместо auth_socket / unix_socket.

Этим руководством самое безопасное и постоянное решение создать нового пользователя mariadb, аутентификация не использует плагина. В других руководствах люди добавляют mysql_native_password как плагины (например, здесь).

Однако mariadb документацией о mysql_native_password, они рекомендуют использовать ed25519 плагин вместо этого. Я не видел единственное руководство онлайн для использования этого с mariadb.

Теперь, то, какой метод аутентификации / плагин должен, является использованием и каков большой differenece между no plugin и ed25519?

Question 2

Согласно Вашей ed25519 сменной ссылке:

MySQL использовал базирующуюся аутентификацию SHA-1 начиная с версии 4.1. Начиная с MariaDB 5.2 этот плагин аутентификации назвали mysql_native_password. За эти годы когда компьютеры стали более быстрыми, новыми нападениями на SHA-1, разрабатывались. В наше время SHA-1 больше не рассматривают как безопасный, как это было в 2001. Вот почему ed25519 плагин аутентификации был создан.

ed25519 плагин аутентификации использует Алгоритм цифровой подписи Эллиптической кривой, чтобы надежно сохранить пароли пользователей и аутентифицировать пользователей. ed25519 алгоритм - тот же, который используется OpenSSH. Это основано на эллиптической кривой и коде, созданном Daniel J. Bernstein.

Если бы безопасность является беспокойством Вам, и она должна, я следовать за MariaDB лучшая практика и использовать ed25519 плагин.

По умолчанию, без любого плагина, Mariadb использует a sha1(sha1("password")), хорошо на самом деле SHA1(UNHEX(SHA1("this_is_a_random_string"))), и sha1 небезопасно. Как обычно, примените лучшую практику, используйте ed25519 плагин - если существует лучшая практика относительно безопасности, следуйте за ним, обычно существует серьезное основание - никто не собирается описывать лучшую практику для чего-то, если нет серьезного основания.

thecarpy · Accepted Answer · 7 December 2019 в 15:07

Согласно Вашей ed25519 сменной ссылке:

MySQL использовал базирующуюся аутентификацию SHA-1 начиная с версии 4.1. Начиная с MariaDB 5.2 этот плагин аутентификации назвали mysql_native_password. За эти годы когда компьютеры стали более быстрыми, новыми нападениями на SHA-1, разрабатывались. В наше время SHA-1 больше не рассматривают как безопасный, как это было в 2001. Вот почему ed25519 плагин аутентификации был создан.

ed25519 плагин аутентификации использует Алгоритм цифровой подписи Эллиптической кривой, чтобы надежно сохранить пароли пользователей и аутентифицировать пользователей. ed25519 алгоритм - тот же, который используется OpenSSH. Это основано на эллиптической кривой и коде, созданном Daniel J. Bernstein.

Если бы безопасность является беспокойством Вам, и она должна, я следовать за MariaDB лучшая практика и использовать ed25519 плагин.

По умолчанию, без любого плагина, Mariadb использует a sha1(sha1("password")), хорошо на самом деле SHA1(UNHEX(SHA1("this_is_a_random_string"))), и sha1 небезопасно. Как обычно, примените лучшую практику, используйте ed25519 плагин - если существует лучшая практика относительно безопасности, следуйте за ним, обычно существует серьезное основание - никто не собирается описывать лучшую практику для чего-то, если нет серьезного основания.

MariaDB: аутентификация по паролю По умолчанию, не достаточно хорошая?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: