Quelle est la meilleure façon de stocker des mots de passe dans OpenLDAP?
Je souhaite stocker les informations d'identification des utilisateurs dans un serveur OpenLDAP ou Similaire.
Beaucoup de commentaire en ligne sur stocker les mots de passe dans les contextes modernes recommandent d'utiliser des schémas de dérivation de mot de passe tels que PBKDF2, BCRYPT et SCRYPT. Il ressemble à OpenLDap propose SHA1 salé comme une option de stockage "la plus sécurisée".
Deux questions:
- Est salé SHA assez fort pour protéger les mots de passe en cas de compromis?
- Quelles sont mes options pour le stockage de mot de passe durcissement sur OpenLDAP?
OK, j'ai donc trouvé des ressources qui m'aident à répondre à ma question.
- Il y a un module qui vous permet d'utiliser PBKDF2 avec SHA1, SHA256 ou SHA 512. C'est probablement la meilleure solution pour la plupart des situations. (Voir: https: // github .Com/Hamano/OpenLDAP-PBKDF2 )
- Vous pouvez également utiliser l'installation locale Unix/Linux CRYPT et configurer OpenLDAP pour seler les mots de passe. YMMV variera par la plate-forme. ALGORITHMESAISABLES DISPONIBLES SUR RHEL 7.1 Inclure le MD5, Blowfish, SHA-256 et SHA-512 Selon la crypte (3) Manpage.
Pour ma situation, les hachages à usage général salé ne coupent pas la moutarde, la première option est la meilleure solution.