Mysql添加了对身份验证插件的支持,该插件现在称为mysql_native_passWord。该mysql_native_password插件使用SHA1哈希 将密码(SHA1(SHA1(password)))存储在my
Mysql添加了对身份验证插件的支持,该插件现在称为mysql_native_passWord。该mysql_native_password插件使用SHA1哈希
将密码(SHA1(SHA1(password)))存储在mysql.user表中
验证用户,该插件的一个优点是,它允许使用质询-响应机制进行身份验证,从而可以在未加密的通道上验证客户端的身份,而无需发送实际密码。
随着时间的流逝,我们从身份验证方案的角度确定了需要改进的几个方面。
为了克服这些限制,从MySQL-8.0.3开始, 引入了一个新的身份验证插件 caching_sha2_password。从 MySQL-8.0.4开始,此插件成为MySQL服务器的新默认身份验证插件。通过caching_sha2_password身份验证,我们可以解决上述问题,同时确保不影响性能。许多使用MySQL的应用程序以很高的频率连接和断开连接。
MySQL caching_sha2_password的设计重点是:
两种操作方式:
DBA可以强制数据库客户端定期使用COMPLETE模式来确定实际密码的认知。通过使用不同轮回数的哈希将密码存储和身份验证脱钩。即使有人可以访问这两个密码,也无法在实际可行的时间内使用此信息来推断密码或获取密码的sha2哈希。蛮力破解8字符长的密码以及5000轮咸化哈希值将花费很长时间。比任何密码到期策略(甚至最宽松的策略)更长的时间。较长的密码只会使事情变得更加困难。
下表比较了mysql_native_password和caching_sha2_password。
除了新插件外,还添加了一些功能来防止尝试识别用户信息并减轻与弱密码相关的风险:
这些功能与caching_sha2_password结合使用,可增强用户帐户抵御密码攻击的能力。
另外,mysql模式的数据可以在静态时进行加密(InnoDB加密, 二进制日志加密)。这样可以保护敏感数据,例如密码哈希,以防止未经授权的文件访问。这在OS /文件系统中隐藏了许多细节。FYI – DBA(具有所需特权集的用户,例如mysql.user表上的SELECT)可以看到此哈希数据,而与使用静态数据加密方案无关。话虽如此,反向工程师密码的费用仍然很高。
如果仅凭安全性不足以促使您升级到caching_sha2_password,那么另一项商业动机就是遵守法规。大多数法规禁止将sha1,md5和其他弱密码用于密码或其他用途。(HIPAA,GDPR等)
在这里总结一下:
--结束END--
本文标题: MySQL新密码机制介绍caching_sha2_password
本文链接: https://www.lsjlt.com/news/6891.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
下载Word文档到电脑,方便收藏和打印~
2024-05-12
2024-05-12
2024-05-12
2024-05-12
2024-05-12
2024-05-12
2024-05-12
2024-05-11
2024-05-11
2024-05-11
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
0