Я исследовал в течение нескольких часов "лучшую практику" для создания второго счета на mysql базу данных с помощью аутентификации по паролю вместо auth_socket
/ unix_socket
.
Этим руководством самое безопасное и постоянное решение создать нового пользователя mariadb, аутентификация не использует плагина. В других руководствах люди добавляют mysql_native_password
как плагины (например, здесь).
Однако mariadb документацией о mysql_native_password, они рекомендуют использовать ed25519 плагин вместо этого. Я не видел единственное руководство онлайн для использования этого с mariadb.
Теперь, то, какой метод аутентификации / плагин должен, является использованием и каков большой differenece между no plugin
и ed25519
?
Согласно Вашей ed25519 сменной ссылке:
MySQL использовал базирующуюся аутентификацию SHA-1 начиная с версии 4.1. Начиная с MariaDB 5.2 этот плагин аутентификации назвали mysql_native_password. За эти годы когда компьютеры стали более быстрыми, новыми нападениями на SHA-1, разрабатывались. В наше время SHA-1 больше не рассматривают как безопасный, как это было в 2001. Вот почему ed25519 плагин аутентификации был создан.
ed25519 плагин аутентификации использует Алгоритм цифровой подписи Эллиптической кривой, чтобы надежно сохранить пароли пользователей и аутентифицировать пользователей. ed25519 алгоритм - тот же, который используется OpenSSH. Это основано на эллиптической кривой и коде, созданном Daniel J. Bernstein.
Если бы безопасность является беспокойством Вам, и она должна, я следовать за MariaDB лучшая практика и использовать ed25519 плагин.
По умолчанию, без любого плагина, Mariadb использует a sha1(sha1("password"))
, хорошо на самом деле SHA1(UNHEX(SHA1("this_is_a_random_string")))
, и sha1
небезопасно. Как обычно, примените лучшую практику, используйте ed25519 плагин - если существует лучшая практика относительно безопасности, следуйте за ним, обычно существует серьезное основание - никто не собирается описывать лучшую практику для чего-то, если нет серьезного основания.