PostgreSQL中的密码验证方法

原创 已于 2023-11-20 14:05:43 修改 · 904 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#postgresql #数据库

于 2023-08-18 15:42:46 首次发布
本文介绍了PostgreSQL中多种密码身份验证方法,包括password、crypt、md5、scram等,分析了各方法存在的问题,如明文传输、存储等。目前采用的SCRAM解决了诸多问题,还提到了LDAP等认证方法,指出PostgreSQL通过SCRAM采用公共标准,状态良好且可适应未来。

在这里插入图片描述

假设您想在客户端/服务器协议中实现密码身份验证方法。 您将如何做到这一点以及可能出现的问题是什么? 以下是 PostgreSQL 中如何完成此操作的故事。

password

一开始,PostgreSQL 只有 pg_hba.conf 中现在称为“password”的方法。 这是你能想象到的最简单的事情:

1.客户端对服务器说:“你好,我是 Peter,我想要连接。”

2.服务器回复:“你的密码是什么?”

3.客户端提示输入密码或从其他地方获取密码并响应:“这是‘123456’。”

4.现在服务器查找实际密码。 它存储在系统目录 pg_authid 列 rolpassword 中。 服务器基本上执行 strcmp(pg_authid.rolpassword, “123456”),如果相等,它会向客户端说“OK”,会话启动将继续。

这种方法有一些明显的问题:

•密码通过网络线路以明文形式传输。 有一些外部方法可以解决这个问题,例如使用 SSL 或其他加密封装。

•密码以明文形式存储在系统目录中,最终存储在磁盘上。 这很糟糕,因为它允许数据库和系统管理员看到其他用户的密码。 当然,人们不应该重复使用密码,但事实上人们可能会这样做。 它还可以允许管理员通过使用密码以其他用户身份登录来绕过审核。 一般来说,存在明文密码是不好的,因为它最终可能会被复制或意外看到。 最好不要这样做。

•更微妙的是,密码以明文形式存在于服务器进程的内存中。 为什么这么糟糕? 因为管理员也可能可以在那里访问它。 此外,如果服务器核心转储或交换,明文密码可能最终会出现在磁盘上的某个位置。 因此,这实际上几乎与在磁盘存储中以明文形式保存密码一样糟糕。

crypt

于是又尝试了另一种方法。这是在pg_hba.conf中不再支持的“crypt”认证方式。

最低0.47元/天 解锁文章
PostgreSQL采用MD5密码认证时密码和pg_authid里rolpassword的关系】
小怪兽的博客
01-23 2092
通过上述测试可以发现,pg_authid系统表里的rolpassword字段的MD5码 ="md5"字符串+ md5(pwd+username)),MD5在理论上是几乎无法破解的,虽然不能反向解析,但是如果获取到了这个MD5处理后的字符串,可以通过撞库方式获取MD5算法处理前的字符,用预先计算好的MD5散列值与已知的散列值进行比较,以查找匹配的明文,从而获取到用户名和密码。但是这种方法需要预先有一定的可能的明文和计算MD5散列值的能力。
postgresql设置密码开启
zengliguang的专栏
04-12 2377
配置文件路径修改成 password_encryption = md5 ,如下图即可。
PostgreSQL数据库安全加固(十三)——加密身份验证密码
ma286388309的博客
02-24 877
通过网络以明文格式发送的PostgreSQL密码很容易被未经授权的用户发现。泄露密码可能很容易导致未经授权访问数据库。如果用于身份验证密码PostgreSQL必须只传输加密的密码
PostgreSql密码验证相关
snowyar的专栏
07-26 922
1、postgresql在14版本之前,默认的加密方式是md5,从14版本开始,密码的加密方式默认是scram-sha-256。2、postgresql 在10+(含10)版本开始支持SCRAM-SHA-256。3、低版本的驱动不支持SCRAM-SHA-256,如JDBC会出现。2)会话级别修改password_encryption 参数。1)升级客户端版本驱动。
数据库PostgreSQL增加密码复杂度校验
菜鸟sdut的博客
05-28 5978
前言 最近修改问题单,被分配了一个增加密码复杂度校验的单子,PG库也不是很懂,查了资料,PG有自带的密码复杂度校验插件,只需要使用这个插件就可以了,然后根据这几天的折腾,总结一下。 怎么添加密码复杂度校验插件 PostgreSQL可以使用passwordcheck扩展+CrackLib来检查口令,并且 PostgreSQL自带了一个插件passwordcheck可以满足简单的密码复杂度测验, 防止使用过短, 或者与包含用户名的密码。 PG的密码复杂度校验插件所在目录是contrib/passwordchec
Postgresql数据库密码忘记的解决方法
小白的大数据之旅的博客
08-11 1455
PostgreSQL数据库密码忘记时,可以通过一系列详细的步骤来重置密码。以下是一个特别详细的解决方案,适用于大多数情况,包括Windows和Linux系统。
Postgresql忘记密码,如何重置密码
热门推荐
明而决之
07-10 1万+
修改密码其实挺简单的,跟着操作三两步骤即可完成。主要逻辑就是先修改配置文件的登录模式为trust,即免密模式。然后重启系统服务,让配置生效,便可通过免密登录。登录之后修改密码即可。......
C#访问PostGreSQL数据库方法
09-08
接着,你需要创建一个数据库连接字符串,该字符串包含了连接到PostgreSQL数据库所需的所有信息,例如服务器地址、端口、用户名、密码数据库名称。以下是一个示例方法,用于根据用户输入构建连接字符串: ```...
PostgreSQL修改密码认证方式
TinaYu的博客
12-21 1810
[postgres@postgres_vm ~]$ psql psql (12.4) Type "help" for help. postgres=# show password_encryption ; password_encryption --------------------- md5 (1 row) postgres=# select * from pg_authid where rolname='hr'; oid | rolname | rolsuper | rolinherit
【PGCCC】揭开PostgreSQL密码验证的神秘面纱:保护你的数据库安全
PGCCC的博客
08-27 1332
PostgreSQL中,密码验证是确保数据库安全的重要手段。无论是MD5、SCRAM-SHA-256,还是LDAP、SSL证书验证,每种方法都有其独特的应用场景和优势。通过本文的介绍,你应当能够根据具体需求,选择合适的密码验证方式并在实际环境中进行配置。
Postgresql数据加密函数介绍
魂醉的一亩二分地
03-21 1万+
业务需求需要对一些敏感数据进行加密处理,说到加密,分为非对称加密和对称加密,稍微解释一下这两个名词1.对称加密方法,指加密和解密使用同一把密钥的方法。优势是加密速度快,缺陷是密钥只有一把,安全性较低。2.非对称加密方法,指加密和解密用到一对钥匙,一把为私钥,一把为公钥。通常的用法是公钥用于加密,私钥用于解密,当然也可以私钥加密,公钥解密。比如乙方用公钥进行加密后,发送数据到甲方,甲方用自己的私有密...
PostgreSQL数据库安全加固(十一)——定义角色并发会话数
ma286388309的博客
02-23 914
数据库管理包括使用PostgreSQL控制用户数和用户会话数的能力。与PostgreSQL无限制的并发连接可以通过耗尽连接资源来成功进行拒绝服务(DoS)攻击,并且系统也可能因合法用户的过载而失败。因此,限制每个用户的并发会话数有助于降低这些风险。必须在PostgreSQL中配置或添加限制每个用户的并发会话数的功能(例如,通过使用登录触发器)。请注意,仅通过Web服务器或应用程序服务器限制会话是不够的,因为合法用户和攻击者可能通过其他方式连接到PostgreSQL
PostgreSQL11 | postgresql函数
红星编程实验室
04-17 1万+
本文根据原书《PostgreSql11 从入门到精通》(清华大学出版社)第6章总结整理,为提问与解答可以帮助更多人,本博客模拟GitHub的issue方案,所以私信已关,有问题请在评论区直接指正与提问,允许转发、复制或引用本文章,必须遵守开源法则注释来源与作者,感谢您的阅读。
PostgreSQL 数据加密之 pgcrypto
Tony.Dong的专栏
10-16 1万+
PostgreSQL 扩展模块 pgcrypto 提供了单向加密算法 MD5、SHA、HMAC ,PGP 双向加密算法 Blowfish、AES、DES 等,可以用于实现数据的加密和解密。本文介绍了这个模块的安装、函数的使用以及实际案例,包括用户密码加密、信用卡号的加密与解密。
15条实用的进阶postgresql命令
GavinCook
12-31 2004
作者: SathiyaMoorthy 原文: http://www.thegeekstuff.com/2009/05/15-advanced-postgresql-commands-with-examples/ 翻译: piglei(piglei2007[AT]gmail.com) piglei: 最初是想找postgresql数据库
PostgreSQL数据库之密文密码检查(passwordcheck)
weixin_38700215的博客
06-19 1310
passwordcheck插件是一个检查密码发杂度的postgresql数据库插件,用于检测新创建或新修改的用户密码复杂度。如果密码是以明文字符串的形式传送到数据库服务端的,那么密码复杂度很容易检查,无非就是对字符串的检查。但是,postgresql数据库允许以密文形式修改用户密码,也就是用户可以先把新密码加密(加密算法可选上面提到的算法),然后把加密后的密文传送到服务端,服务端接收到的是加密了的密码,又怎么进行密码复杂度检查呢?
PostgreSQL 修改数据库用户的密码
秋̶᭄ꦿ攻城狮࿆ྂ
06-24 3813
FATAL: password authentication failed for user "postgres"
PostgreSQLPostgresql数据库密码忘记的解决方法
A-Itfuture的博客
03-12 4432
(这里修改成功后会直接跳过输密码的过程)(注意,命令最后的分号不能省)
PostgreSQL(十三)pgcrypto 扩展实现 AES、PGP 加密,并自定义存储过程
ACGkaka的博客
10-24 3012
PostgreSQL(十三)pgcrypto 扩展实现 AES、PGP 加密,并自定义存储过程
PostgreSQL 初始密码
最新发布
04-20
### PostgreSQL 默认初始密码及修改方法 PostgreSQL 是一种功能强大的开源关系型数据库系统,在安装完成后通常需要进行初始化配置以确保系统的安全性和稳定性。以下是关于 PostgreSQL 的默认初始密码及其修改方式的相关说明。 #### 默认初始密码 在大多数情况下,PostgreSQL 安装后的超级用户 `postgres` 并未设置明确的默认密码[^3]。这意味着该用户的访问权限可能仅限于通过操作系统身份验证的方式登录。具体来说: - 如果使用的是 Linux 或 macOS 系统,默认情况下可以通过切换到 `postgres` 用户并运行命令进入 PostgreSQL shell 来实现无密码访问。 - Windows 环境下可能会预设一个简单的密码(如为空),但这取决于具体的安装程序版本和配置选项。 #### 修改密码方法 为了提高安全性,建议尽快更改默认账户的密码。以下是几种常见的修改密码的操作流程: 1. **通过 SQL 命令修改** 使用具有管理员权限的角色执行以下语句可以更新指定用户的密码: ```sql ALTER USER postgres WITH PASSWORD 'your_new_password'; ``` 此操作需先连接至 PostgreSQL 数据库实例,可通过如下指令完成: ```bash sudo -u postgres psql ``` 2. **启用 MD5 或 scram-sha-256 加密机制** 自 PostgreSQL 版本 14 起,默认采用更安全的 `SCRAM-SHA-256` 密码加密算法替代传统的 MD5 方式[^4]。因此,在创建新用户或者变更现有用户密码时,应考虑此变化带来的影响。 3. **重启服务使改动生效** 对某些环境而言,修改完毕后还需重新加载或重启 PostgreSQL 服务才能让新的认证规则完全适用: ```bash service postgresql restart ``` 以上步骤能够帮助您有效管理和保护您的 PostgreSQL 实例免受未经授权的访问威胁。 ```python import psycopg2 try: connection = psycopg2.connect( user="postgres", password="your_new_password", host="localhost", port="5432" ) except Exception as error: print(f"Error connecting to database: {error}") finally: if(connection): connection.close() ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值