为什么PostgreSQL默认将用户密码存储在MD5哈希中并不是安全漏洞?我正在研究PostgreSQL的内部,并且已经进入了系统日志记录pg_authid,当我读到MD5哈希加密时,它似乎被认为是过时的。在我看来,如果管理员或用户能够访问底层文件存储,那么他们可以假设破解密码并执行所有凭证启用的操作。为什么PostgreSQL默认将用户密码存储在MD5哈希中,这不是安全漏洞?
我问为什么它不是一个安全漏洞,因为显然PostgreSQL一直是“通用标准认证”,它似乎是军事级别的安全,根据它的wiki,它注意到它来自西方国防组织。
谢谢!
版本10将提供['scram-sha-256'认证方法](https://www.postgresql.org/docs/10/static/auth-methods。 html#auth-password) –
那么说现在在很多默认安装中确实存在一个很大的安全漏洞是否公平? –
@ClodoaldoNeto^ –