Eu tenho um servidor web Apache rodando no Debian Linux e protejo um determinado diretório com htaccess. Não tenho histórico ou conhecimento de como o arquivo .htpasswd foi criado. A documentação do Apache diz que a criptografia crypt() foi usada para criptografar senhas até a versão 2.2.17 e a criptografia MD5 é usada desde 2.2.18. Como posso distinguir qual criptografia meu arquivo .htpasswd usa?
Responder1
Não tenho histórico ou conhecimento de como o arquivo .htpasswd foi criado.
Você provavelmente está procurando o htpasswdcomando. Leia a página de manual para mais detalhes:
man htpasswd
Como posso distinguir qual criptografia meu arquivo .htpasswd usa?
Por que você precisa saber disso? Não acho que seja importante saber disso se você quiser apenas editar o arquivo.
Estou perguntando porque tive a impressão de que os dois são vulneráveis.
O htpasswdcomando na minha máquina pode usar quatro formatos de senha diferentes:
# MD5 (default)
martin@martin ~ % htpasswd -m -b -n user pass
user:$apr1$uFKIg3No$ItOJ5p6EEbALwPDYcPDd0.
# crypt
martin@martin ~ % htpasswd -d -b -n user pass
user:qMYdeiUkbhR/o
# SHA
martin@martin ~ % htpasswd -s -b -n user pass
user:{SHA}nU4eI71bcnBGqeO0t9tXvY1u5oQ=
# Plain
martin@martin ~ % htpasswd -p -b -n user pass
user:pass
Isso deve ajudá-lo a descobrir qual formato você está usando.
Estou me perguntando com o que você está preocupado ... se os hashes são vulneráveis só é motivo de preocupação se um invasor conseguir obter acesso ao .htpasswdarquivo, o que deve ser muito improvável em uma configuração sã. O .htpasswdarquivo deve ser armazenado fora do diretório servido, por exemplo, em algum lugar no /etc, onde o servidor web possa acessá-lo, mas não o servirá.
O que deveria preocupá-lo muito mais é o fato de queAutenticação básica HTTP transmite senhas em texto não criptografado, o que definitivamente não é seguro se você não estiver usando HTTPS. Então, se você está preocupado com a segurança, considere mudar paraAutenticação de resumo HTTP.