Postgres密码安全

Question

一个Postgres用户的密码有多安全？

创建新的db用户时，是否对存储的密码进行了散列和腌制？

Answer 1

Postgres使用MD5作为算法，用户名为"salt“。

使用salt通常会阻止散列的计算，例如在彩虹表中。使用用户名作为salt只是部分地解决了这个问题。可以预先计算常见用户名的散列，例如"root“或"postgres”。

此外，MD5是目前速度最快的加密散列之一。计算10，1-1-1-1-1-MD5散列每秒是可能的。这使得使用暴力攻击破解密码成为可能，即尝试多个密码。现代密码哈希功能被设计为缓慢，所以暴力攻击需要很长时间。

在我看来，Postgres密码存储技术不符合现代安全标准。您可以通过使用长而随机的密码，而不是在其他任何地方重用该密码来缓解这一问题。

Answer 2

Pg将密码存储在pg_authid中。

密码(可能是加密的)；空(如果没有)。如果密码是加密的，该列将以字符串md5开头，后面跟着一个32字符的十六进制MD5哈希。MD5散列的用户密码将连接到他们的用户名。例如，如果用户joe有密码xyzzy，PostgreSQL将存储xyzzyjoe的md5散列。不遵循该格式的密码被假定为未加密。

你可以通过跑步看到它们

SELECT rolpassword
FROM pg_authid;

注意，并非所有用户都使用md5。您可以让用户对抗大多数使用PG Auth模块或PAM模块.。