安全公告:增强数据库中的密码哈希值
如果您的数据库遭到入侵,您数据库中的密码哈希值是否足够强大以防止被破解?
Django 0.90 将密码存储为未加盐的 MD5。Django 0.91 添加了对加盐 SHA1 的支持,并在用户登录时自动升级密码。Django 1.4 将 PBKDF2 作为默认密码哈希器。
如果您有一个使用 MD5 或 SHA1(即使是加盐的)编码密码的旧 Django 项目,请注意,使用今天的硬件可以相当容易地破解这些密码。考虑使用包装的密码哈希器 来增强数据库中的哈希值。Django 1.10 将从默认的 PASSWORD_HASHERS 设置中移除 MD5 和 SHA1 哈希器,以强制项目承认继续使用弱哈希器。PASSWORD_HASHERS设置。
返回顶部