У меня есть хэши паролей MD5 в базе данных, которые я хочу использовать против HTTP AUTH DIGEST. Но при чтении документации кажется, что хеш дайджеста содержит хеш имени пользователя, области и пароля в виде открытого текста. Есть ли способ использовать хэш пароля MD5 в этой ситуации?
Могу ли я использовать уже закодированный пароль MD5 в дайджест-аутентификации
Ответы (4)
Нет. Если нужный им хеш сгенерирован так:
MD5 (имя пользователя + область + пароль)
Вам не повезло.
Если они хешируют пароль так:
MD5 (MD5 (пароль) + имя пользователя + область)
Вы сможете сделать это с помощью только хешированного пароля. Но это не похоже на то, что происходит.
person
Spencer Ruport
schedule
10.08.2009
Нет, вы должны хранить в таблицах хэш HA1 Digest и использовать его для других типов аутентификации (форм и Basic). См. Здесь: Сохранение пароля в таблицах и дайджест-аутентификация
person
Remus Rusanu
schedule
10.08.2009
Это следует принять как лучший ответ. Вы МОЖЕТЕ и ДОЛЖНЫ хранить хешированную версию пароля (в отличие от обычного текста). Но вы должны хешировать его вместе с именем пользователя и областью, как указано в этом ответе.
- person drwatsoncode; 11.03.2014
Нет, это невозможно. Весь смысл дайджест-аутентификации состоит в том, чтобы избежать атак повторного воспроизведения, то есть если у кого-то есть только хешированная версия (некоторых данных аутентификации), а не реальные данные.
Это не только хеш имени пользователя, настоящего и пароля в виде открытого текста, но и одноразовый номер, который будет меняться каждый раз. Так что вам действительно нужен пароль в виде открытого текста.
person
Martin v. Löwis
schedule
10.08.2009
Нет. При дайджест-аутентификации пароль хешируется с вызовом, нет возможности заставить его работать с другим хешем.
Базовая аутентификация по HTTPS более безопасна и должна работать с вашим хешированным паролем.
person
ZZ Coder
schedule
10.08.2009
