Ho hash MD5 di password in un database che voglio usare contro HTTP AUTH DIGEST. Ma leggendo i documenti, sembra che l'hash del digest contenga un hash del nome utente, del realm e della password in chiaro. C'è un modo per usare l'hash MD5 della password in questa situazione?Posso usare una password già codificata MD5 in Autenticazione Digest
No. Se l'hash di cui hanno bisogno è generato in questo modo:
MD5 (nome utente + regno + password)
Tu sei fuori di fortuna.
Se sono hashing la password in questo modo:
MD5 (MD5 (password) + nome utente + regno)
Sareste in grado di farlo solo con l'hash della password. Ma non sembra che sia quello che sta succedendo.
No, è necessario memorizzare nelle tabelle l'hash HA1 di Digest e utilizzarlo per altri tipi di autenticazione (moduli e Basic). Vedi qui: Storing password in tables and Digest authentication
No, questo non è possibile. L'autenticazione point of digest è per evitare attacchi di replay, cioè qualcuno ha solo una versione hash (di alcuni dati di autenticazione) piuttosto che i dati reali.
Non solo è un hash di nome utente, password reale e testo in chiaro, ma anche un nonce, che cambierà ogni volta. Quindi hai davvero bisogno della password in chiaro.
No. Nell'autenticazione digest, la password viene sottoposta a hash con una sfida, non c'è modo di farlo funzionare con un altro hash.
L'autenticazione di base su HTTPS è più sicura e dovrebbe funzionare con la password con hash.
Questo dovrebbe essere accettato come la migliore risposta. È POSSIBILE e DOVREBBE memorizzare una versione con hash della password (a differenza del testo semplice). Ma devi farlo con il nome utente e il dominio come indicato in questa risposta. – ricovox