Come ottenere gli hash di bcrypt di altre persone da aggiungere al file htpasswd

Naviga le tue risposte
6

Ho bisogno di limitare alcune pagine web a determinati utenti e lo faccio usando un file .htpasswd tramite nginx.

Il problema è che ho bisogno di aggiungere gli hash delle password bcrypt di altre persone al mio file .htpasswd. Sarebbe possibile per loro generarlo usando htpasswd sulla propria macchina (potrebbe essere Windows, Mac, Linux), e poi darmi l'hash risultante? Vorrei aggiungere questo hash al file .htpasswd.

L'altro problema è che credo che bcrypt usi i sali per generare gli hash. Se generano un hash bcrypt sul proprio computer con il proprio sale, non sarebbe un problema dato che il server non avrà quel valore salato? Al contrario, se bcrypt non usa i sali ma se voglio usare i sali, come risolverei questo problema?

    
posta user1812844 11.07.2013 - 22:31
fonte

1 risposta

6

Normalmente l'output (hash) quando hash una password con Bcrypt non è solo l'hash: è una stringa di testo che codifica anche il sale e identifica l'algoritmo hash utilizzato.

Da questa risposta StackOverflow : 

$2a$10$vI8aWBnW3fID.ZQ4/zo1G.q1lRps.9cGLcZEiGDMVr5yUP1KUOYTa
  • 2a identifies the bcrypt algorithm version that was used.
  • 10 is the cost factor; 210 iterations of the key derivation function are used (which is not enough, by the way. I'd recommend a cost of 12 or more.)
  • vI8aWBnW3fID.ZQ4/zo1G.q1lRps.9cGLcZEiGDMVr5yUP1KUOYTa is the salt and the cipher text, concatenated and encoded in a modified Base-64. The first 22 characters decode to a 16-byte value for the salt. The remaining characters are cipher text to be compared for
    authentication.
  • $ are used as delimiters for the header section of the hash. This example is taken from the documentation for Coda Hale's ruby
    implementation.

htaccess consente di generare bcrypt con l'interruttore -B (fare riferimento alla manpage qui ). Quindi, se tutti hanno installato htaccess o qualsiasi altra cosa che può generare hash bcrypt validi, dovresti stare bene.

    
risposta data 11.07.2013 - 22:57
fonte

Leggi altre domande sui tag

Di cosa ho bisogno di essere a conoscenza per selezionare un metodo di trasferimento per dati forensi digitali? Esistono linee guida per la progettazione di applicazioni per browser compatibili con HIPAA?