Каков по умолчанию метод шифрования паролей в Drupal?

Question

Я пытаюсь выяснить, какую безопасность Drupal 6/7 использует по умолчанию для хранения паролей. Это MD5, AES, SHA? Я не смог ничего найти.

Answer 1

Drupal 8 и Drupal 7 по умолчанию используют SHA512 с солью. Они запускают хеш через функцию PHP hash многократно, чтобы увеличить стоимость вычислений для генерации окончательного хэша пароля (техника безопасности называется stretching ).

В Drupal 8 реализация является объектно-ориентированной. Существует PasswordInterface , который определяет метод хеширования. Реализация по умолчанию этого интерфейса находится в классе PhpassHashedPassword . Этот метод класса hash вызывает метод crypt , передавая SHA512 в качестве алгоритма хеширования, пароля и сгенерированной соли. Метод crypt класса почти такой же, как метод Drupal 7 _password_crypt () .

В Drupal 7 реализация разделена на несколько глобальных функций: user_hash_password () и _password_crypt () .

Drupal 6 использует MD5 без соли. Соответствующая функция: user_save () .

Answer 2

Вот пример хеша из Drupal 7:

• "pass": "$ S $ Dxl65W9p07LfQU7jvy5CnsyDpMoLujiAgzy123khcg1OJi / P9pKS"

• Типы символов 0-2 ($ S $ - Drupal 7)

• Символ 3 - это число раундов log2 (X) в зависимости от положения символа в этом списке: './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz' Так что в нашем примере 'D' будет отображаться в 15
• Символы 4-11 - СОЛЬ
• Остальное - хеш SHA512, использующий 2 ^ X раундов.

• Затем двоичный результат преобразуется в строку с использованием base64.

  $ count = 1 << $ count_log2; <br> $ hash = hash ($ algo, $ salt. $ password, TRUE);
  do {$ hash = hash ($ algo, $ hash. $ password, TRUE);
  } while (- $ count);

Весь процесс можно найти в: mydrupalsite \ включает \ password.inc

Answer 3

Можно проверить внутри www \ includes \ password.inc

function user_check_password($password, $account) {
  if (substr($account->pass, 0, 2) == 'U$') {
    // This may be an updated password from user_update_7000(). Such hashes
    // have 'U' added as the first character and need an extra md5().
    $stored_hash = substr($account->pass, 1);
    $password = md5($password);
  }
  else {
    $stored_hash = $account->pass;
  }

  $type = substr($stored_hash, 0, 3);
  switch ($type) {
    case '$S$':
      // A normal Drupal 7 password using sha512.
      $hash = _password_crypt('sha512', $password, $stored_hash);
      break;
    case '$H$':
      // phpBB3 uses "$H$" for the same thing as "$P$".
    case '$P$':
      // A phpass password generated using md5.  This is an
      // imported password or from an earlier Drupal version.
      $hash = _password_crypt('md5', $password, $stored_hash);
      break;
    default:
      return FALSE;
  }
  return ($hash && $stored_hash == $hash);
}

Было ясно написано, что "// обычный пароль Drupal 7 с использованием sha512."

Answer 4

Для ядра Drupal 6 метод использует MD5, и, насколько я понимаю, соление не используется.Для Drupal 7 используется более продвинутое хеширование.Хорошая статья об этом здесь - http://joncave.co.uk/2011/01/password-storage-in-drupal-and-wordpress/

Answer 5

drupal 8 использует Phpass (модифицированная версия)

drupal 7 использовать SHA-512 + соль

drupal 6 и предыдущая версия использовали md5 без соли