將鹽添加到.htpasswd？

Question

是否可以在.hpasswd文件中爲密碼添加鹽？我假設沒有，因爲服務器將需要每個用戶的鹽以驗證密碼，我不能想到它將如何得到它們，但否則如果要獲得該列表，它將是相當脆弱的。有解決方案嗎？

非常感謝您的幫助， 本

Answer 1

默認的htpasswd使用標準crypt功能，因此密碼已醃製 - 注意在這個例子中，這兩個用戶具有相同的密碼，但哈希值是不同的：

 
simon@diablo:~$ htpasswd -b -c htpasswd simon abcd 
Adding password for user simon 
simon@diablo:~$ htpasswd -b htpasswd simon2 abcd 
Adding password for user simon2 
simon@diablo:~$ cat htpasswd 
simon:NWvm/LCCxQ64E 
simon2:2I.LBzsRqULN6 

（注：-b標誌通常氣餒，因爲其他用戶可以看到你的命令行參數，因此密碼）

的哈希的前兩個字符是鹽;通過再次呼叫crypt()來驗證密碼。密碼輸入錯誤則產生一個字符串，這是不公平的哈希密碼：

>>> from crypt import crypt 
>>> crypt("wrongpass", "NWvm/LCCxQ64E") 
'NWbxQgX1unvso' 

，而正確的密碼產生期望的散列：

>>> crypt("abcd", "NWvm/LCCxQ64E") 
'NWvm/LCCxQ64E' 

htpasswd -m使用不同的算法是MD5爲基礎，採用了更長鹽：

 
simon@diablo:~$ htpasswd -m -b -c htpasswd simon abcd 
Adding password for user simon 
simon@diablo:~$ cat htpasswd 
simon:$apr1$mfvnBVmG$iIHIHOaH9vcImG5G.8eVa/ 

在此，該鹽是在第二和第三$之間的8個字符。

htpasswd -s存儲不含鹽的SHA-1消化物;這似乎是與Netscape/LDIF兼容性：

 
simon@diablo:~$ htpasswd -s -b -c htpasswd simon abcd 
Adding password for user simon 
simon@diablo:~$ htpasswd -s -b htpasswd simon2 abcd 
Adding password for user simon2 
simon@diablo:~$ cat htpasswd 
simon:{SHA}gf6L/odXbD7LIkJvjleEc4KRes8= 
simon2:{SHA}gf6L/odXbD7LIkJvjleEc4KRes8= 

這些很容易被逆轉 - 轉換爲十六進制摘要：

>>> "".join("%02x" % ord(c) 
...  for c in "gf6L/odXbD7LIkJvjleEc4KRes8=".decode("base64")) 
'81fe8bfe87576c3ecb22426f8e57847382917acf' 

然後使用online hash database。

Answer 2

的htpasswd實用already does use salts在大多數情況下：

地穴（）和MD5格式置換前面加上一個隨機字符串鹽，使對密碼字典攻擊更加困難的代表性。

這就是（有點）鹽在密碼文件中的目的。雖然鹽必須包含在服務器的.htpasswd文件中，以便服務器能夠檢查密碼，但鹽是多麼不同的可能性，它可以抵禦諸如rainbow tables等攻擊技術。但是，如果用戶選擇弱密碼或普通密碼，密碼破解無論如何都是一個問題，因爲攻擊者（假定能夠訪問密碼文件）會首先嚐試這些密碼，實際上它很快（不受速度的限制的服務器和Internet連接），通過正常的方式進行猜測。我可以給出的最佳建議是用戶應該始終選擇強密碼。