Zastanawiam się, dlaczego nawet dla tej samej nazwy użytkownika i tego samego hasła, httpasswd wyprowadza za każdym razem nowy skrót? Próbowałem znaleźć odpowiedź na to pytanie, ale nie mogłem.Różne dane wyjściowe, ta sama nazwa użytkownika i hasło
Hasła generowane przez "htpasswd" używają losowej soli, aby utrudnić zgadywanie. Oznacza to również, że prekryptowane słowniki do ataków muszą być znacznie większe, ponieważ muszą kryptować każde możliwe hasło z każdą możliwą solą.
htpasswd używa crypt(3) za kulisami.
Oto wskazówka dla Ciebie, kiedy generujesz klucze lub ciągi tajne, używaj funkcji 1_way_hash (sól + aktualny czas), które są, jeśli nie niemożliwe, trudne do złamania. Normalnie używam tego do tworzenia tokenów lub kluczy sesji.
Dzięki. Nie wiedziałem o losowej soli. – user225312
'passwd', narzędzie do zmiany haseł Unix robi to samo. (Chociaż obecnie wiele z nich używa haseł MD5 zamiast krypt, więc nie ma soli.) –
Jeśli zastanawiasz się, "Jak serwer określa sól, jeśli sól została losowo wygenerowana?". sól to pierwsze dwa znaki wyjścia 'crypt()'. –