Могу ли я использовать уже зашифрованный пароль MD5 в дайджест-аутентификации

Question

У меня есть MD5 хэши паролей в базе данных, которые я хочу использовать против HTTP AUTH DIGEST. Но при чтении документов похоже, что дайджест-хэш содержит хэш имени пользователя, области и пароля в виде открытого текста. Можно ли в этой ситуации использовать MD5-хэш пароля?

Answer 1

Нет, вы должны хранить в таблицах хэш-дайджест HA1 и использовать его для других типов аутентификации (формы и Basic). Смотрите здесь: Хранение пароля в таблицах и дайджест-аутентификация

Answer 2

Нет. Если необходимый им хэш генерируется так:

MD5 (имя пользователя + область + пароль)

Вам не повезло.

Если они хэшируют пароль следующим образом:

MD5 (MD5 (пароль) + имя пользователя + область)

Вы сможете сделать это только с помощью хешированного пароля. Но это не похоже на то, что происходит.

Answer 3

Нет, это невозможно. Весь смысл дайджест-аутентификации состоит в том, чтобы избежать атак повторного воспроизведения, т. Е. Когда кто-то имеет только хешированную версию (некоторых данных аутентификации), а не реальные данные.

Это не только хэш имени пользователя, реального и открытого текста, но также и одноразовый номер, который будет меняться каждый раз. Так что вам действительно нужен открытый текстовый пароль.

Answer 4

Нет. При дайджест-аутентификации пароль хэшируется с проблемой, нет способа заставить его работать с другим хэшем.

Базовая аутентификация через HTTPS более безопасна и должна работать с вашим хешированным паролем.