MySQL新密碼機制介紹caching_sha2_password

来源:https://www.cnblogs.com/olinux/archive/2020/06/28/13201497.html

MySQL8系列新增的密碼插件策略:caching_sha2_password ...


 

MySQL添加了對身份驗證插件的支持,該插件現在稱為mysql_native_password。該mysql_native_password插件使用SHA1哈希

 

將密碼(SHA1(SHA1(password)))存儲在mysql.user表中
驗證用戶,該插件的一個優點是,它允許使用質詢-響應機制進行身份驗證,從而可以在未加密的通道上驗證客戶端的身份,而無需發送實際密碼。

 

隨著時間的流逝,我們從身份驗證方案的角度確定了需要改進的幾個方面。

 

  • 在將值存儲在資料庫中時,密碼的轉換必須使用鹽(增加的因素)。沒有它,兩個具有相同密碼的帳戶將具有相同的哈希值。儘管這並不能顯示實際的密碼,但確實提供了有關用戶使用密碼的線索,並限制了暴力攻擊和獲取密碼所需的工作。
  • 使用蠻力攻擊更難破解存儲的密碼。最好在存儲密碼時使用許多(數千)輪哈希。
  • 使用更強大的哈希機制。隨著技術的發展,SHA1和其他哈希演算法的前身(例如MD5)已被證明非常容易破解。註意:NIST 在2011年已棄用。因此,如果您可以從mysql.user表中獲取散列,或者通過嗅探未加密的通道,則可以對這些密碼進行快速反向工程和破解,尤其是當密碼較短(少於8個字元)時。另請參閱FIPS 180-4。
  • 對身份驗證階段和密碼使用不同的哈希方案。在這兩種情況下,mysql_native_password插件都使用類似的轉換(SHA1(SHA1(password)))。

為了剋服這些限制,從MySQL-8.0.3開始, 引入了一個新的身份驗證插件 caching_sha2_password。從 MySQL-8.0.4開始,此插件成為MySQL伺服器的新預設身份驗證插件。通過caching_sha2_password身份驗證,我們可以解決上述問題,同時確保不影響性能。許多使用MySQL的應用程式以很高的頻率連接和斷開連接。

 

MySQL caching_sha2_password的設計重點是:

 

  • 使用SHA-2哈希機制來轉換密碼。具體來說,它使用SHA256。
  • 生成哈希時,每個密碼使用20位元組長的鹽。由於鹽是一個隨機數,即使兩個用戶使用相同的密碼,轉換過程的最終結果也將完全不同。
  • 為了使使用蠻力機制更難以嘗試和猜測密碼,在將最終轉換存儲在mysql.user表中之前,對密碼和鹽進行了5000輪SHA2散列。

兩種操作方式:

  • COMPLETE:要求客戶端安全地發送實際密碼(通過TLS連接或使用RSA密鑰對)。伺服器生成5000輪哈希,並與mysql.user中存儲的值進行比較。
  • FAST:允許使用SHA2哈希的基於質詢-響應的身份驗證。高性能和安全性在同一時間。

DBA可以強制資料庫客戶端定期使用COMPLETE模式來確定實際密碼的認知。通過使用不同輪迴數的哈希將密碼存儲和身份驗證脫鉤。即使有人可以訪問這兩個密碼,也無法在實際可行的時間內使用此信息來推斷密碼或獲取密碼的sha2哈希。蠻力破解8字元長的密碼以及5000輪咸化哈希值將花費很長時間。比任何密碼到期策略(甚至最寬鬆的策略)更長的時間。較長的密碼只會使事情變得更加困難。

 

下表比較了mysql_native_password和caching_sha2_password。

 

 

 

 

 

除了新插件外,還添加了一些功能來防止嘗試識別用戶信息並減輕與弱密碼相關的風險:

 

  • 支持TLS連接,無需任何額外的努力(伺服器端支持和客戶端端支持)以確保預設情況下連接是安全的
  • CREATE USER / ALTER USER提供了幾個 選項來指定密碼管理策略
  • 控制可以和不能用作密碼的內容–長度,字元複雜度等。
  • 減慢蠻力嘗試猜測密碼會增加延遲以及設置最大嘗試限制
  • 用隨機一次密碼重置密碼。
  • 防止用戶枚舉的其他措施

這些功能與caching_sha2_password結合使用,可增強用戶帳戶抵禦密碼攻擊的能力。

 

另外,mysql模式的數據可以在靜態時進行加密(InnoDB加密, 二進位日誌加密)。這樣可以保護敏感數據,例如密碼哈希,以防止未經授權的文件訪問。這在OS /文件系統中隱藏了許多細節。FYI – DBA(具有所需特權集的用戶,例如mysql.user表上的SELECT)可以看到此哈希數據,而與使用靜態數據加密方案無關。話雖如此,反向工程師密碼的費用仍然很高。

 

如果僅憑安全性不足以促使您升級到caching_sha2_password,那麼另一項商業動機就是遵守法規。大多數法規禁止將sha1,md5和其他弱密碼用於密碼或其他用途。(HIPAA,GDPR等)

 

在這裡總結一下:

 

  • 如果您使用的是mysql_native_password,請儘快計劃遷移到caching_sha2_password或支持與外部身份驗證伺服器集成的 企業身份驗證插件之一。SHA1不夠安全,切換也不困難。
  • 對mysql.user表的訪問應儘可能嚴格。即使它不存儲實際的密碼,該表中的信息也非常敏感-尤其是密碼哈希。實際上,無論您在何處存儲此類哈希-無論是在MySQL資料庫中還是在外部身份驗證伺服器(例如LDAP伺服器)上,都必須始終對其進行保護。 OpenLDAP文檔 很好地闡明瞭這一點:

 

 

  • 使用MySQL提供的密碼策略功能來控制密碼生命周期。
  • 使用MySQL提供的控制項來防止對密碼的暴力攻擊。
  • 在mysql模式上,最好在所有表上使用InnoDB加密,以及二進位日誌加密,以保護靜態數據免受未經授權的訪問。
  • 始終使用加密的連接:在HA拓撲中是伺服器-客戶端通信還是伺服器-伺服器通信。僅加密靜態數據是不夠的。數據在傳輸過程中必須受到保護。
  • 始終通過加密備份來保護備份,以避免數據泄漏

 


您的分享是我們最大的動力!

更多相關文章
  • dgraph 簡介 dgraph 使用示例(基於 golang) golang client 安裝 創建 schema 數據的 CURD 事務 總結 dgraph 簡介 dgraph 是基於 golang 開發的開源的分散式圖資料庫. 誕生時間不長, 發展卻很迅速. 目前是 v20.x 版本, dg ...
  • Linux系統環境下MySQL資料庫源代碼的安裝 基本環境:CentOS Linux release 7.8.2003 (Core)、MySQL5.6 一、 安裝環境準備 若要在Linux系統下進行Mysql源碼安裝,需要檢查系統是否具備編譯源碼的工具和庫:gcc、 gcc-c++、cmake,為方 ...
  • MySQL知識點總結 一、 MySQL常用命令 啟動MySQL服務:service mysqld start 或 systemctl start mysqld.service 停止MySQL服務:service mysqld stop 或 systemctl stopt mysqld.service ...
  • 1 --普通時間 轉 13 位時間戳 2 SELECT CONVERT(BIGINT,DATEDIFF(MI,'1970-01-01 00:00:00.000', GETUTCDATE())) * 60000 + DATEPART(S,GETUTCDATE()) * 1000 + DATEPART( ...
  • 一、什麼是工作流? 工作流(WorkFlow)就是工作流程的計算模型,即將工作流程中的工作如何前後組織在一起的邏輯和規則在電腦中以恰當的模型進行表示並對其實施計算。工作流要解決的主要問題是:為實現某個業務目標,在多個參與者之間,利用電腦,按某種預定規則自動傳遞。下麵我們以“員工請假的流程”為例, ...
  • 墨天輪資料庫周刊第28期發佈啦,每周1次推送本周資料庫相關熱門資訊、精選文章、乾貨文檔。本周分享 開發者最喜愛的資料庫是什麼?阿裡雲脫口秀爆聊程式員轉型;MySQL update誤操作後進行資料庫恢復;PG流複製踩坑;PG異機歸檔;MySQL架構選型案例;oracle 技能表;Oracle文件損壞處... ...
  • select * from BANK t; DECLARE v_money bank.money%TYPE; BEGIN --簡單執行sql,註意sql字元串不要帶分號結束 EXECUTE IMMEDIATE 'SELECT money FROM bank WHERE id = 5'; --帶參數, ...
  • CREATE OR REPLACE FUNCTION c_to_f (degree NUMBER) RETURN NUMBER IS buffer NUMBER; BEGIN buffer := (degree * 9/5) + 32; RETURN buffer; END; --第一種 前提方法必 ...
一周排行
  • 圖文講解,一門教學級邏輯式編程語言,NMiniKanren,的運行原理。 ...
  • 多Sheet導入教程 說明 本教程主要說明如何使用Magicodes.IE.Excel完成多個Sheet數據的Excel導入。 要點 多個相同格式的Sheet數據導入 多個不同格式的Sheet數據導入 主要步驟 1. 多個相同格式的Sheet數據導入 1.1 創建導入Sheet的Dto 主要代碼如下 ...
  • 在KeyPress事件中寫入 private void txtBoxKeyPress(object sender, KeyPressEventArgs e) { if ((e.KeyChar >= 'a' && e.KeyChar <= 'z') || (e.KeyChar >= 'A' && e. ...
  • 在 Xunit 中使用依賴註入 Intro 之前寫過一篇 xunit 的依賴註入相關的文章,但是實際使用起來不是那麼方便 今天介紹一個基於xunit和微軟依賴註入框架的“真正”的依賴註入使用方式 ——— Xunit.DependencyInjection, 來自大師的作品,讓你在測試代碼里使用依賴註 ...
  • 官網 http://www.hzhcontrols.com/ 前提 入行已經7,8年了,一直想做一套漂亮點的自定義控制項,於是就有了本系列文章。 GitHub:https://github.com/kwwwvagaa/NetWinformControl 碼雲:https://gitee.com/kww ...
  • 在項目的實際開發過程中,我們經常會遇到Tab頁面的開發 EciTab控制項有多種使用方式: 下麵介紹Frame容器方式: 下麵介紹的Tab頁面採用的策略是 Tab頁面管理幾個子頁面,頁面組織上用Iframe管理的模式 採用Iframe的原因主要有兩個 1.開發簡單,每一個頁面都是簡單的畫面 2.性能考 ...
  • 引用的DLL MySql.Data.MySqlClient System.Data City實體 public class City { public int ID { get; set; } public string Name { get; set; } public string Countr ...
  • 案例故事: 即時通訊(IM)軟體有很多,比如企業微信,釘釘,飛書,Skype, 微軟的Lync等, 這些軟體現在都很牛,還能監控誰誰在不在電腦旁工作,誰誰誰提前下班溜了。。。 一次偶然的機會,有個妹子請教我,她每天都想準時18點下班, 她問我如何做到: 假裝企業微信線上,併在2個小時後(20點)準時 ...
  • 一.官方文檔 https://pypi.org/project/muggle-ocr/ 二模塊安裝 pip install muggle-ocr # 因模塊過新,阿裡/清華等第三方源可能尚未更新鏡像,因此手動指定使用境外源,為了提高依賴的安裝速度,可預先自行安裝依賴:tensorflow/numpy ...
  • 前言 ​ 關於 Python 這個欄目,咕了幾個月了,今天講講如何發送驗證碼並驗證。 ​ 因為部分原因,寫這篇文章的時候心情是不太好的,播放首歌吧。 代碼 導入 導入yagmail,random和time庫 import yagmail,random,time #導入 yagmail , rando ...