LDAP中的密碼有多安全？

Question

如果密碼存儲在LDAP而不是數據庫或加密文件中，您的密碼是否更安全？

Answer 1

使用LDAP，密碼在服務器上驗證。它在設計上並不安全很多。但是有很多SSO解決方案使用LDAP，所以有很大的用戶羣。

Answer 2

密碼與用戶和密碼存儲位置之間最薄弱的鏈接一樣安全。基本上，這意味着它不僅是存儲密碼的方式，還需要保護用戶和存儲之間的連接線。當服務器和通信安全時，最薄弱的環節往往是用戶。 （因爲用戶有時擁有寵物搖滾的內存容量。）

我的一位同事曾經失去了他的筆記本電腦，他非常擔心這個小偷會訪問他系統中的所有祕密內容。事實證明，他在自己的筆記本電腦上貼了一張小便條，上面有密碼。不幸的是，他並不是這個世界上唯一一個在他們的計算機旁邊的筆記上寫密碼的人。

Answer 3

LDAP是一種通信協議，密碼的存儲方式與目錄系統相差無幾。例如，請參閱NTLM user authentication in Windows瞭解Windows的用途。

LAN管理兼容密碼是 與通過LAN管理器使用 密碼兼容。該密碼是基於原始設備 製造商（OEM）字符集的 。此 密碼不區分大小寫，可以 長達14個字符。該密碼的OWF 版本也被稱爲 作爲LAN Manager OWF或ESTD 版本。此密碼的計算方法爲： 使用DES加密以明文密碼加密 常量。 LAN Manager OWF密碼長度爲16 字節。 明文密碼的前7個字節用於 計算LAN的前8個字節 管理器OWF密碼。明文密碼的第二個字節爲 ，用於計算LAN Manager OWF密碼的第二個8字節 。

Windows密碼基於 Unicode字符集。此密碼 區分大小寫，最長可達128 個字符。 OWF版本 此密碼也被稱爲 Windows OWF密碼。該密碼是使用RSA MD-4 加密算法計算得出的 。該算法 計算密碼字節的明文 的可變長度字符串的16字節摘要。

它不是特別安全，但Active Directory通常在經過一些不良嘗試後實現鎖定，所以沒有那麼糟糕。一般來說，供應商編寫的任何代碼都比推出自己的代碼要好。

這也取決於您如何在數據庫中存儲密碼以及應用了哪些策略。存儲簡單密碼unhashed或未加密是一個可怕的想法。通常一個目錄系統會處理這個問題。 AD例如也可能需要密碼複雜性並防止重複使用相同的密碼等。把它放到攻擊者可以訪問的文件中是不好的主意。

Answer 4

只要你不在網絡上暴露密碼，它就像在數據庫中存儲哈希密碼一樣安全。根據LDAP服務器實現，您可以使用許多不同類型的散列。

OpenLDAP提供CRYPT，MD5，SMD5，SSHA和SHA（根據我的手冊頁）。

簡而言之，LDAP爲您提供了類似的哈希功能，您可以自己散列密碼並將它們存儲在SQL數據庫中。

Answer 5

密碼在LDAP目錄中存儲爲散列字符串。 OpenLDAP例如支持醃製SHA1 {SSHA}，隱祕{CRYPT}（取決於OS），MD5 {MD5}，鹽漬MD5 {SMD5}和SHA1 {SHA}的方案。我認爲Active Directory服務器存儲某種LM散列和/或NT散列。

考慮到這個事實，將密碼存儲在LDAP目錄中的安全性不會比將哈希密碼（假設同一個哈希）存儲在文件或SQL數據庫中更安全。直接訪問底層數據結構的每個人至少可以讀取哈希密碼值（如果數據不是基於文件或文件系統進行額外加密的話）。

決定是否使用LDAP或其他類型的帳戶存儲機制肯定不會基於密碼存儲的安全性這一事實。該決定將基於身份驗證如何完成以及您需要滿足哪些其他要求。當必須將不同的客戶端連接到中央認證系統（例如專有軟件，電子郵件服務器）時，或者您必須將其集成到某些KERBEROS或SASL認證方案中時，LDAP纔會派上用場。