我可以在摘要式身份验证中使用已 MD5 编码的密码吗

Question

我在数据库中有密码的 MD5 哈希值，我想将其用于 HTTP AUTH DIGEST。但在阅读文档时，摘要哈希看起来包含用户名、领域和明文密码的哈希。在这种情况下有什么办法可以使用密码的 MD5 哈希吗？

Answer 1

不。如果他们需要的散列是这样生成的：

MD5（用户名+领域+密码）

你就不走运了。

如果他们像这样对密码进行哈希处理：

MD5(MD5(密码) + 用户名 + 领域)

您只需使用哈希密码即可做到这一点。但听起来情况并非如此。

Answer 2

不，您必须在表中存储 Digest 的 HA1 哈希值，并将其用于其他类型的身份验证（表单和基本）。请参阅此处：将密码存储在表和摘要式身份验证中

Answer 3

不，这是不可能的。摘要身份验证的全部目的是避免重放攻击，即某人仅拥有（某些身份验证数据）的散列版本而不是真实数据。

它不仅是用户名、真实密码和明文密码的哈希值，而且还是一个随机数，每次都会改变。所以你确实需要明文密码。

Answer 4

不可以。在摘要式身份验证中，密码通过质询进行哈希处理，无法使其与另一个哈希一起使用。

通过 HTTPS 的基本身份验证更安全，并且它应该与您的散列密码一起使用。