HTTP AUTH DIGEST に対して使用したいデータベースにパスワードの MD5 ハッシュがあります。しかし、ドキュメントを読むと、ダイジェスト ハッシュにユーザー名、レルム、平文のパスワードのハッシュが含まれているようです。この状況でパスワードの MD5 ハッシュを使用する方法はありますか?
質問する
3697 次
4 に答える
6
いいえ。必要なハッシュが次のように生成される場合:
MD5 (ユーザー名 + レルム + パスワード)
あなたは運が悪いです。
彼らがパスワードを次のようにハッシュしている場合:
MD5(MD5(パスワード) + ユーザー名 + レルム)
ハッシュ化されたパスワードだけでそれを行うことができます。しかし、それが起こっていることのようには聞こえません。
于 2009-08-10T21:24:38.380 に答える
6
いいえ、ダイジェストの HA1 ハッシュをテーブルに保存し、それを他のタイプの認証 (フォームおよび基本) に使用する必要があります。ここを参照してください:テーブルにパスワードを保存する と ダイジェスト認証
于 2009-08-10T21:24:52.933 に答える
4
いいえ、これは不可能です。ダイジェスト認証の要点は、リプレイ攻撃を回避することです。つまり、誰かが実際のデータではなく、(一部の認証データの) ハッシュ化されたバージョンしか持っていない場合です。
ユーザー名、実際のパスワード、平文のパスワードのハッシュであるだけでなく、毎回変更されるナンスでもあります。したがって、平文のパスワードが本当に必要です。
于 2009-08-10T21:25:48.097 に答える
1
いいえ。ダイジェスト認証では、パスワードはチャレンジでハッシュされます。別のハッシュで機能させる方法はありません。
HTTPS 経由の基本認証はより安全であり、ハッシュ化されたパスワードで機能するはずです。
于 2009-08-10T21:27:30.340 に答える