#2 Durcissement de configuration OpenLDAP sur le hashage des mots de passe

Open
opened 1 year ago by Darks · 2 comments
Darks commented 1 year ago
Owner

Je ne sais pas trop quelle est la méthode utilisée par défaut par OpenLDAP, mais déjà je suis sûr qu'il n'y a pas de salage.

Il faudrait se renseigner sur le sujet, et durcir la configuration pour que ce soit pas trop pourri.

Quelques pistes à ce sujet :

Je ne sais pas trop quelle est la méthode utilisée par défaut par OpenLDAP, mais déjà je suis sûr qu'il n'y a pas de salage. Il faudrait se renseigner sur le sujet, et durcir la configuration pour que ce soit pas trop pourri. Quelques pistes à ce sujet : - https://security.stackexchange.com/questions/87061/what-is-the-best-way-to-store-passwords-in-openldap - https://github.com/wclarie/openldap-bcrypt
Darks added the
security
label 1 year ago
Breizh commented 1 year ago

Histoire de garder une trace, je pose ça là. Ça explique que OpenLDAP est capable d'utiliser le crypt(3) du système pour les hash, et comment faire une config qui l'utilise par défaut, ce qui permet d'améliorer la sécurité sans ajouter trop de modules à la provenance douteuse.

Et j'ajoute au passage que si, OpenLDAP fait du salage, vu que par défaut c'est du SHA-1 salé (préfixé par SSHA) qui est utilisé.

https://www.openldap.org/lists/openldap-technical/201305/msg00002.html

Histoire de garder une trace, je pose ça là. Ça explique que OpenLDAP est capable d'utiliser le crypt(3) du système pour les hash, et comment faire une config qui l'utilise par défaut, ce qui permet d'améliorer la sécurité sans ajouter trop de modules à la provenance douteuse. Et j'ajoute au passage que si, OpenLDAP fait du salage, vu que par défaut c'est du SHA-1 salé (préfixé par SSHA) qui est utilisé. https://www.openldap.org/lists/openldap-technical/201305/msg00002.html
Darks commented 9 months ago
Poster
Owner

Par défaut, ça a l'air d'être du {md5}cc2e4981ba84bbeb…

Par défaut, ça a l'air d'être du `{md5}cc2e4981ba84bbeb…`…
Sign in to join this conversation.
No Milestone
No Assignees
2 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.