我想将用户凭据存储在 OpenLDAP 或类似的目录服务器中。
许多关于在现代环境中存储密码的在线评论都建议使用密码派生方案,如 PBKDF2、bcrypt 和 scrypt。看起来 OpenLDAP 提供了盐渍 SHA1,因为它是“最安全”的存储选项。
两个问题:
- Salted SHA 是否足够强大以在发生泄露时保护密码?
- 在 OpenLDAP 上加强密码存储的选项有哪些?
在 OpenLDAP 中存储密码的最佳方式是什么?
信息安全
密码
哈希
LDAP
2021-08-16 01:15:19
1个回答
好的,所以我找到了一些可以帮助我回答问题的资源。
- 有一个模块允许您将 PBKDF2 与 SHA1、SHA256 或 SHA 512 一起使用。这可能是大多数情况下的最佳解决方案。(见:https ://github.com/hamano/openldap-pbkdf2 )
- 或者,您可以使用本地 Unix/Linux crypt 工具,并将 OpenLDAP 配置为对密码进行加盐。YMMV 会因平台而异。根据 crypt(3) 联机帮助页,RHEL 7.1 上的可用哈希包括 MD5、Blowfish、SHA-256 和 SHA-512。
对于我的情况,盐渍通用哈希不会切芥末,所以第一个选择是最好的解决方案。
其它你可能感兴趣的问题