delphij's Chaos

选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……

30 Jul 2012

SHA512-crypt

早期的 FreeBSD 版本中采用的是 md5crypt,其作者 Poul Henning-Kamp 最近发表了一篇文章:Md5crypt Password scrambler is no longer considered safe by author,所以 FreeBSD 预设的密码格式也就随之改成了 SHA512 crypt。

不过其实这个意义也不是太大,因为这个版本(5000轮,16位salt=96bit)虽然慢的还算可以,可是计算机的速度还是在持续增长的。

前段时间找时间把 FreeBSDChina.org 的密码格式也换成 SHA512-crypt 了。目前采取的方法是用户登录的时候,如果验证通过,则用用户明文口令产生新的 SHA512-crypt 并刷回数据库(因为原先保存的是 hash 值)。这样,几个月后还可以把不活跃用户挑选出来一起砍掉。


Archived: 9 Comments

yaochi | July 30, 2012 3:03 AM

赶紧登陆去……

liufeng | July 30, 2012 3:32 PM

看了这篇文章想顺便登陆论坛看看,登陆的时候发现印象中的密码错了,于是使用找回密码功能,结果收到的邮件中写到“在密码启用之後, 您将可以使用新的密码登入:”,后面空白一片。论坛是不是出错误了?

截图在此(你好像在美国,应该可以访问G+ :)):https://plus.google.com/u/0/110652251097545857937/posts/6LGvUzBV3Jb

Xin LI replied to comment from liufeng | July 30, 2012 8:52 PM

已修正。

xdSu | July 31, 2012 2:40 AM

最后一句亮了…赶紧登陆去

arust | August 18, 2012 8:14 PM

我使用找回密码功能,收到了邮件,也按照邮件提示访问链接启用密码,提示新密码启用成功。然后用新密码登陆,却提示密码错误。尝试找回密码若干次都是如此,最新一次收到的新密码是7d7a58cc。

Xin LI replied to comment from arust | August 18, 2012 8:56 PM

再试一下?

arust replied to comment from Xin LI | August 20, 2012 3:10 AM

还是一样的情况,收到邮件中的链接为:
http://www.freebsdchina.org/forum/profile.php?mode=activate&u=27259&act_key=0629e9ab9
密码是:e84ab622

Xin LI replied to comment from arust | August 20, 2012 2:00 PM

数据库有个字段忘记改了,现在应该好了,请再试一下。。。

arust replied to comment from Xin LI | August 20, 2012 9:32 PM

现在好了,谢谢!