爲什麼PostgreSQL默認將用戶密碼存儲在MD5哈希中並不是安全漏洞?我正在研究PostgreSQL的內部,並且已經進入了系統日誌記錄pg_authid,當我讀到MD5哈希加密時,它似乎被認爲是過時的。在我看來,如果管理員或用戶能夠訪問底層文件存儲,那麼他們可以假設破解密碼並執行所有憑證啓用的操作。爲什麼PostgreSQL默認將用戶密碼存儲在MD5哈希中,這不是安全漏洞?
我問爲什麼它不是一個安全漏洞,因爲顯然PostgreSQL一直是「通用標準認證」,它似乎是軍事級別的安全,根據它的wiki,它注意到它來自西方國防組織。
謝謝!
版本10將提供['scram-sha-256'認證方法](https://www.postgresql.org/docs/10/static/auth-methods。 html#auth-password) –
那麼說現在在很多默認安裝中確實存在一個很大的安全漏洞是否公平? –
@ClodoaldoNeto^ –