htpasswdの暗号化アルゴリズムを区別する方法は?

htpasswdの暗号化アルゴリズムを区別する方法は?

Debian Linux上で動作するApache Webサーバーがあり、htaccessを使用してディレクトリを保護しています。 .htpasswdファイルがどのように生成されるのかわかりません。 Apache ドキュメントでは、バージョン 2.2.17 以前は crypt() 暗号化を使用してパスワードが暗号化され、バージョン 2.2.18 以降では MD5 暗号化が使用されることが示されています。私の.htpasswdファイルがどの暗号化を使用しているかをどうやって知ることができますか?

答え1

.htpasswdファイルがどのように生成されるのかわかりません。

このコマンドを探しているかもしれませんhtpasswd。詳しくはマニュアルページをご覧ください。

man htpasswd

私の.htpasswdファイルがどの暗号化を使用しているかをどうやって知ることができますか?

なぜこれを知る必要がありますか?ただファイルを編集したい場合は、これを知ることは重要ではないと思います。

みんな柔らかいという印象を受けたので聞きます。

htpasswd私のコンピュータのコマンドは4つのパスワード形式で動作します。

# MD5 (default)
martin@martin ~ % htpasswd -m -b -n user pass
user:$apr1$uFKIg3No$ItOJ5p6EEbALwPDYcPDd0.
# crypt
martin@martin ~ % htpasswd -d -b -n user pass
user:qMYdeiUkbhR/o
# SHA
martin@martin ~ % htpasswd -s -b -n user pass
user:{SHA}nU4eI71bcnBGqeO0t9tXvY1u5oQ=
# Plain
martin@martin ~ % htpasswd -p -b -n user pass
user:pass

これは、使用している形式を決定するのに役立ちます。

何を心配しているのか疑問に思います...攻撃者がファイルにアクセスできる場合は、ハッシュが脆弱になることを心配してください。.htpasswd一般的な構成ではそうではありません。ファイルは、Webサーバーがファイルにアクセスできますが提供していない場所など、提供されたディレクトリの.htpasswd外部に保存する必要があります。/etc

もっと気にするべきことはHTTP基本認証 パスワードをプレーンテキストで送信、HTTPSを使用しないと確かに安全ではありません。したがって、セキュリティが心配な場合は、次に切り替えることを検討してください。HTTPダイジェスト認証

関連情報