我知道 ldap 目录可以将用户密码存储为明文或散列(使用一种可用算法)。
客户端以明文格式发送用户密码。身份验证服务器检查存储的密码是散列形式还是明文形式...取决于将来自客户端的密码与存储值进行比较的情况。
为了使连接安全,我们可以使用 TLS,但是我们是否需要仅以明文形式将密码从客户端发送到服务器..
我们是否可以选择客户端以散列格式发送密码?
问问题
518 次
1 回答
2
除非 LDAP 客户端对 BIND 操作使用无密码 SASL 方法,否则密码应通过安全连接以明文形式发送。只有这样,目录服务器才能强制执行密码质量规则、密码历史记录等。出于这个原因,软件专业人员应该拒绝发送预编码密码的想法。
目录服务器应配置为使用具有最长可用摘要的加盐SHA-2(专业质量的目录服务器支持具有 512 位摘要的加盐 SHA-2)。否则,如果需要使用像 DIGEST-MD5 这样的低安全性 SASL 方法,则服务器需要访问密码;因此,密码应存储在可用的最强可逆加密中,我认为是AES。
总而言之,如果使用简单的 BIND 操作进行身份验证:
- 将服务器配置为拒绝非安全连接
- 通过安全连接以明文形式发送密码
- 配置服务器的密码策略以使用可用的最长加盐 SHA-2 摘要存储密码
于 2012-11-15T09:32:40.860 回答