OpenLDAPにパスワードを保存する最良の方法は何ですか?
ユーザーの資格情報をOpenLDAPまたは同様のディレクトリサーバーに保存したい。
最新のコンテキストでのパスワードの保存に関するオンライン解説の多くは、PBKDF2、bcrypt、scryptなどのパスワード導出スキームの使用を推奨しています。 OpenLDAPは「最も安全な」ストレージオプションであるため、ソルトSHA1を提供しているようです。
2つの質問:
- Salted SHAは、侵害された場合にパスワードを保護するのに十分な強さですか?
- OpenLDAPのパスワードストレージを強化するための私のオプションは何ですか?
さて、質問への回答に役立つリソースを見つけました。
- SHA1、SHA256、またはSHA 512のいずれかでPBKDF2を使用できるようにするモジュールがあります。これはおそらくほとんどの状況に最適なソリューションです。参照: https:// github .com/hamano/openldap-pbkdf2 )
- あるいは、ローカルのUnix/Linux暗号化機能を使用して、OpenLDAPを構成してパスワードをソルトすることもできます。 YMMVはプラットフォームによって異なります。 Algorithms RHEL 7.1で利用可能なハッシュには、crypt(3)マンページによると、MD5、Blowfish、SHA-256、SHA-512が含まれます。
私の状況では、ソルトされた汎用ハッシュはマスタードをカットしないので、最初のオプションが最良のソリューションです。