PostgreSQLがデフォルトでユーザパスワードをMD5ハッシュに格納するセキュリティホールはなぜですか?私はPostgreSQLの内部を勉強しており、システムカタログpg_authidに入っています。私がMD5ハッシュの暗号化について読むと、古いものとみなされているようです。私の考えでは、管理者またはユーザーが基礎となるファイルストアにアクセスできる場合、パスワードを仮想的にクラックし、資格情報によって可能になるものを実行できます。PostgreSQLがデフォルトでユーザパスワードをMD5ハッシュに保存するセキュリティホールはなぜですか?
PostgreSQLは西側の防衛組織の出典であるwikiによれば、軍事級のセキュリティで保護されていると思われる「Common Criteria Certified」となっているため、なぜセキュリティホールではないのか尋ねます。
ありがとうございます!
バージョン10は['scram-sha-256'認証方法]を提供します(https://www.postgresql.org/docs/10/static/auth-methods。 html#auth-password) –
今日の多くのデフォルトインストールには大きなセキュリティホールが存在すると言っても過言ではありませんか? –
@ClodoaldoNeto^ –