Ich betreibe einen ProFTPD-Server mit einem MySQL-Backend zur Benutzerauthentifizierung.
Die Passwörter der Benutzer liegen derzeit im Klartext vor. Und mein Ziel ist, dass alle Benutzer verschlüsselte Passwörter in der Datenbank gespeichert haben.
Ich weiß, dass ich den folgenden SQL-Befehl eingeben kann, wenn ich das Passwort eines Benutzers verschlüsseln möchte:
update users set password= md5('MyPassword') where password="myPassword";
Aber wie kann ich alle Passwörter aller Benutzer verschlüsseln?
Ich hoffe, dass mir jemand helfen kann.
Antwort1
update users set password= md5('MyPassword') where password="myPassword";
Es ist nicht sicher, MD5 als Hash zu verwenden. MD5 ist veraltet
Sichere Hash-Algorithmen sind PBKDF2, bcrypt, scrypt usw. Und zusätzlich müssen alle Hash-Algorithmen mit Salt verwendet werden. @Gerald Schneider hat zu diesem Thema einen sehr guten Link gepostet:https://security.stackexchange.com/questions/211/how-to-securely-hash-passwords
Das Problem hierbei ist, dass keiner dieser sicheren Hash-Algorithmen in MySQL implementiert ist. Es gibt einen Authentifizierungsmodus für PBKDF2 in ProFTPD im Mod-SQL-Modul. Es gibt jedoch keine Möglichkeit, per OOTB ein PBKDF2-gehashtes Passwort oder ein Passwort, das mit einem anderen sicheren Algorithmus gehasht wurde, in einer MySQL-Datenbank zu generieren.
Eine mögliche Lösung wäre, eine HTML-Seite mit PHP zu erstellen. PHP verfügt standardmäßig über implementierte Funktionen zum Generieren sicherer gehashter Passwörter.
Ich habe im ProFTPD-Forum gefragt, ob dort jemand eine andere, vielleicht bessere Antwort auf das Problem hat: https://forums.proftpd.org/smf/index.php/topic,12110.0.html
Ja, ich weiß, die ursprüngliche Frage war, wie man alle Passwörter in meiner Datenbank auf einmal mit einem Befehl hashen kann. Aber ich denke, zuerst sollte ich nach einem sicheren Hash-Algorithmus suchen.