Warum ist es keine Sicherheitslücke, dass PostgreSQL standardmäßig Benutzerkennwörter in einem MD5-Hash speichert? Ich studiere die Interna von PostgreSQL und bin zum System catelog pg_authid gekommen und wenn ich über die MD5-Hash-Verschlüsselung lese, scheint es, dass es als antiquiert gilt. In meinen Gedanken, wenn ein Administrator oder ein Benutzer in der Lage ist, auf den zugrunde liegenden Dateispeicher zuzugreifen, könnten sie hypothetisch die Kennwörter knacken und tun, was auch immer diese Berechtigungsnachweise ermöglichen würden.Warum ist es keine Sicherheitslücke, dass PostgreSQL standardmäßig Benutzerkennwörter in einem MD5-Hash speichert?
Ich frage, warum es keine Sicherheitslücke ist, da PostgreSQL anscheinend "Common Criteria Certified" war, das laut seinem Wiki, das aus westlichen Verteidigungsorganisationen stammt, militärsicher zu sein scheint.
Danke!
Version 10 bietet ['scram-sha-256' Authentifizierungsmethode] (https://www.postgresql.org/docs/10/static/auth-methods. html # auth-password) –
Also ist es fair zu sagen, dass es heute in vielen Standardinstallationen ein großes Sicherheitsloch gibt? –
@ClodoaldoNETO^ –