เมื่อป้อน ID และรหัสผ่าน ID และรหัสผ่านแฮชจะถูกสร้างขึ้นเพื่อใส่ใน. htpasswd
ไฟล์ htpasswd คืออะไร
มันถูกใช้เพื่อปกป้องไฟล์โฟลเดอร์หรือเว็บไซต์ทั้งหมดโดยใช้การตรวจสอบสิทธิ์ผู้ใช้ HTTP ที่เรียกว่าการรับรองความถูกต้องพื้นฐานและดำเนินการตามกฎที่อธิบายไว้ในไฟล์. htaccess
ข้อมูลผู้ใช้จะถูกเขียนบนหนึ่งบรรทัดต่อผู้ใช้และแต่ละบรรทัดมีชื่อผู้ใช้และรหัสผ่านคั่นด้วยเครื่องหมายโคลอน (:) ชื่อผู้ใช้จะถูกบันทึกด้วยข้อความธรรมดา แต่รหัสผ่านจะถูกบันทึกเป็นรูปแบบแฮช
คุณสามารถตั้งชื่อไฟล์รหัสผ่านได้ แต่ Apache ใช้. htpasswd โดยค่าเริ่มต้นและไฟล์ dot (ไฟล์ที่ขึ้นต้นด้วย ''. '') มักเป็นไฟล์ที่ซ่อนอยู่ดังนั้นจึงแนะนำให้ใช้“. htpasswd” เป็นชื่อไฟล์
Hash algorithm
- md5 (APR) $ apr1 $ คำนำหน้า
ฟังก์ชันแฮชที่สร้างค่า 128 บิต
นี่เป็นค่าเริ่มต้นในเวอร์ชัน 2.2.18 และใหม่กว่า แต่ไม่ปลอดภัยพอในปีที่ผ่านมา
ความเข้ากันได้: Apache ทุกรุ่น Nginx 1.0.3 ขึ้นไป - crypt () หรือ crypt (3) โดยไม่มีคำนำหน้า
จนถึง Apache เวอร์ชัน 2.2.17 เป็นอัลกอริทึมเริ่มต้น แต่ตอนนี้ถือว่าไม่ปลอดภัยเนื่องจากรหัสผ่านถูก จำกัด ไว้ที่ 8 อักขระ
ความเข้ากันได้: Apache, Nginx ทุกรุ่น - คำนำหน้า SHA-1 {SHA}
ฟังก์ชันแฮชที่สร้างค่า 160 บิต
แม้ว่าจะได้รับการรับรองจากแอปพลิเคชันและโปรโตคอลจำนวนมาก แต่ก็ไม่ปลอดภัยตามมาตรฐานล่าสุด
ความเข้ากันได้: Apache ทุกเวอร์ชัน, Nginx 1.3.13 ขึ้นไป - bcrypt $ 2y $ หรือคำนำหน้า $ 2a $
ฟังก์ชันแฮชที่ถือว่ามีความปลอดภัยในปีที่ผ่านมาโดยใช้อัลกอริธึมการเข้ารหัสปักเป้า
ใช้เวลานานในการคำนวณซึ่งเป็นเหตุผลหนึ่งว่าทำไมจึงปลอดภัย
พารามิเตอร์ตั้งเวลาการคำนวณ (ตัวเลขที่ใหญ่ขึ้นนั้นซับซ้อนและปลอดภัยกว่า แต่จะสร้างได้ช้ากว่า)
* ระวังอย่าตั้งค่า 10 หรือมากกว่าเพราะมันจะหนักมาก
ความเข้ากันได้: Apache 2.4 หรือใหม่กว่า (ต้องใช้ apr-util 1.5 หรือสูงกว่า)
