MySQL新密码机制介绍caching_sha2_password

最新推荐文章于 2024-06-14 11:19:48 发布
最新推荐文章于 2024-06-14 11:19:48 发布
阅读量3.7k 收藏 7
点赞数
分类专栏: mysql 文章标签: mysql 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49319422/article/details/127449897
版权

Mysql_native_password 设计:

MySQL添加了对身份验证插件的支持,该插件现在称为mysql_native_password。该mysql_native_password插件使用SHA1哈希
将密码(SHA1(SHA1(password)))存储在mysql.user表中
验证用户,该插件的一个优点是,它允许使用质询-响应机制进行身份验证,从而可以在未加密的通道上验证客户端的身份,而无需发送实际密码。

随着时间的流逝,我们从身份验证方案的角度确定了需要改进的几个方面。
  • 在将值存储在数据库中时,密码的转换必须使用盐(增加的因素)。没有它,两个具有相同密码的帐户将具有相同的哈希值。尽管这并不能显示实际的密码,但确实提供了有关用户使用密码的线索,并限制了暴力攻击和获取密码所需的工作。
  • 使用蛮力攻击更难破解存储的密码。最好在存储密码时使用许多(数千)轮哈希。
  • 使用更强大的哈希机制。随着技术的发展,SHA1和其他哈希算法的前身(例如MD5)已被证明非常容易破解。注意:NIST 在2011年已弃用。因此,如果您可以从mysql.user表中获取散列,或者通过嗅探未加密的通道,则可以对这些密码进行快速反向工程和破解,尤其是当密码较短(少于8个字符)时。另请参阅FIPS 180-4。
  • 对身份验证阶段和密码使用不同的哈希方案。在这两种情况下,mysql_native_password插件都使用类似的转换(SHA1(SHA1(password)))。

为了克服这些限制,从MySQL-8.0.3开始, 引入了一个新的身份验证插件 caching_sha2_password。从 MySQL-8.0.4开始,此插件成为MySQL服务器的新默认身份验证插件。通过caching_sha2_password身份验证,我们可以解决上述问题,同时确保不影响性能。许多使用MySQL的应用程序以很高的频率连接和断开连接。

MySQL caching_sha2_password的设计重点是:

  • 使用SHA-2哈希机制来转换密码。具体来说,它使用SHA256。
  • 生成哈希时,每个密码使用20字节长的盐。由于盐是一个随机数,即使两个用户使用相同的密码,转换过程的最终结果也将完全不同。
  • 为了使使用蛮力机制更难以尝试和猜测密码,在将最终转换存储在mysql.user表中之前,对密码和盐进行了5000轮SHA2散列。
两种操作方式:
  • COMPLETE:要求客户端安全地发送实际密码(通过TLS连接或使用RSA密钥对)。服务器生成5000轮哈希,并与mysql.user中存储的值进行比较。
  • FAST:允许使用SHA2哈希的基于质询-响应的身份验证。高性能和安全性在同一时间。

DBA可以强制数据库客户端定期使用COMPLETE模式来确定实际密码的认知。通过使用不同轮回数的哈希将密码存储和身份验证脱钩。即使有人可以访问这两个密码,也无法在实际可行的时间内使用此信息来推断密码或获取密码的sha2哈希。蛮力破解8字符长的密码以及5000轮咸化哈希值将花费很长时间。比任何密码到期策略(甚至最宽松的策略)更长的时间。较长的密码只会使事情变得更加困难。

下表比较了mysql_native_password和caching_sha2_password。
在这里插入图片描述

除了新插件外,还添加了一些功能来防止尝试识别用户信息并减轻与弱密码相关的风险:
1、支持TLS连接,无需任何额外的努力(服务器端支持和客户端端支持)以确保默认情况下连接是安全的
2、CREATE USER / ALTER USER提供了几个 选项来指定密码管理策略
3、控制可以和不能用作密码的内容–长度,字符复杂度等。
4、减慢蛮力尝试猜测密码会增加延迟以及设置最大尝试限制
5、用随机一次密码重置密码。
6、防止用户枚举的其他措施

这些功能与caching_sha2_password结合使用,可增强用户帐户抵御密码攻击的能力。

另外,mysql模式的数据可以在静态时进行加密(InnoDB加密, 二进制日志加密)。这样可以保护敏感数据,例如密码哈希,以防止未经授权的文件访问。这在OS /文件系统中隐藏了许多细节。FYI – DBA(具有所需特权集的用户,例如mysql.user表上的SELECT)可以看到此哈希数据,而与使用静态数据加密方案无关。话虽如此,反向工程师密码的费用仍然很高。

如果仅凭安全性不足以促使您升级到caching_sha2_password,那么另一项商业动机就是遵守法规。大多数法规禁止将sha1,md5和其他弱密码用于密码或其他用途。(HIPAA,GDPR等)

在这里总结一下:

  • 如果您使用的是mysql_native_password,请尽快计划迁移到caching_sha2_password或支持与外部身份验证服务器集成的 企业身份验证插件之一。SHA1不够安全,切换也不困难。
  • 对mysql.user表的访问应尽可能严格。即使它不存储实际的密码,该表中的信息也非常敏感-尤其是密码哈希。实际上,无论您在何处存储此类哈希-无论是在MySQL数据库中还是在外部身份验证服务器(例如LDAP服务器)上,都必须始终对其进行保护。 OpenLDAP文档 很好地阐明了这一点:
  • 在这里插入图片描述
  • 使用MySQL提供的密码策略功能来控制密码生命周期。
  • 使用MySQL提供的控件来防止对密码的暴力攻击。
  • 在mysql模式上,最好在所有表上使用InnoDB加密,以及二进制日志加密,以保护静态数据免受未经授权的访问。
  • 始终使用加密的连接:在HA拓扑中是服务器-客户端通信还是服务器-服务器通信。仅加密静态数据是不够的。数据在传输过程中必须受到保护。
  • 始终通过加密备份来保护备份,以避免数据泄漏
白辰丶
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql8.0以后连接插件caching_sha2_password
07-02
mysql8.0以后连接插件caching_sha2_password
连接MYSQL8.0失败,提示[caching_sha2_password]错误解决办法
weixin_42966151的博客
11-09 6742
PHP连接MYSQL8.0失败,提示[caching_sha2_password]错误解决办法
MySQL用户密码插件mysql_native_passwordcaching_sha2_password的区别
最新发布
jkzyx123的博客
06-14 560
MySQL用户密码插件mysql_native_passwordcaching_sha2_password的区别
MySQLcaching_sha2_password报错的解决
bisal的专栏
12-30 6627
MySQL新身份验证插件caching_sha2_password》讲解了MySQL新身份验证插件caching_sha2_password,对于同事碰到的这个问题,ERROR2059(HY000): Plugincaching_sha2_passwordcouldnotbeloaded: /usr/lib64/mariadb/plugin/caching_sha2_passw...
MySQL8认证插件——Caching SHA-2 Pluggable Authentication
贺浦力特的博客
06-06 2674
MySQL 提供了两个身份验证插件,用于实现用户帐户密码的 SHA-256 哈希:● sha256_password:实现基本的SHA-256身份验证。● caching_sha2_password:实现SHA-256身份验证(如sha256_password),但在服务器端使用缓存以获得更好的性能,并具有更广泛的适用性的附加功能。在 MySQL 8.0 中,caching_sha2_password 是默认的身份验证插件,而不是 MySQL_native_password
技术分享 | MySQL:caching_sha2_password 快速问答
杨建荣的学习笔记
06-23 809
作者:胡呈清爱可生 DBA 团队成员,擅长故障分析、性能优化,个人博客:https://www.jianshu.com/u/a95ec11f67a8,欢迎讨论。本文来源:原创投稿*爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。一个报错在使用客户端登录MySQL8.0时,我们经常会遇到下面这个报错:ERROR 2061 (HY000): Aut...
caching_sha2_password‘ cannot be loaded问题解决
WorldMvp的专栏
12-10 1万+
在mac上安装8.0.19版本的mysql后,使用navicat连接时,报caching_sha2_password' cannot be loaded的异常。 原因为:8.0.19版本的mysq用户密码加密方式为caching_sha2_password,navicat暂不支持,需要修改下mysql的加密方式。 解决过程: 1.登陆mysql mysql -u root -p 2.查看当前加密方式 use mysql; select user,plugin from user where.
caching_sha2_password
11-18
解决navicat连接mysql8报sha2证书错误,直接把文件放到navicat安装根目录即可连接mysql8
mysql-connector-net-8.0.26-noinstall.rar
08-23
C#连接MYSQL8.0的版本老是提示[Authentication method 'caching_sha2_password' not supported by any of the available plugins.] 这个错误,换低版本的MYSQL连接又没有问题,现在把我的经验分享一下,解决这个连接...
Mysql-2059-(cacheing_sha2_password).docx
12-19
MySQL 8.0之前,包括5.7版本,系统默认使用`mysql_native_password`插件来加密用户密码,而从MySQL 8.0开始,为了提高密码的安全性,新的默认加密机制变为了`caching_sha2_password`。 `caching_sha2_password`是...
mysql安装navicat之后,出现2059,Authentication plugin及本地链接虚拟机docker,远程链接服务器
12-14
为了使Navicat能够正常连接,需要将认证插件改为`mysql_native_password`,因为Navicat可能不支持更安全的`caching_sha2_password`。为此,可以执行以下SQL语句: ```sql ALTER USER 'root'@'localhost' IDENTIFIED...
MySQL运维实战(6)用户认证插件caching_sha2_password
02-05 1198
作者:俊达。
连接MySQL数据库出现错误:2059 - authentication plugin ‘caching_sha2_password‘的解决方法
Hedyqing的博客
04-15 2万+
原因分析:错误原因:MySQL新版本(8以上版本)的用户登录账户加密方式是【caching_sha2_password】,Navicat不支持这种用户登录账户加密方式。 1.首先我们需要打开MySQL 命令行客户端,如图所示,点击【MySQL 8.0 command line client】 2.输入自己安装MySQL时设置的密码,登录客户端,如图所示,表示登录成功 3.先查看一下加密的方式,命令:show variables like ‘default_authentication_plugin’;
MySQL身份验证插件(mysql_native_passwordsha256_passwordcaching_sha2_password
SunZLong的博客
01-10 2万+
MySQL 5.6提供了以下身份验证插件: 1、mysql_native_password 执行本地身份验证的插件;在MySQL中引入可插入身份验证之前使用的基于密码哈希方法的身份验证。该mysql_native_password插件基于本机密码哈希方法实现身份验证。该mysql_old_password 插件基于较旧的(4.1之前的)密码哈希方法实现本机身份验证(现已弃用)。mysql_na...
解决Authentication plugin ‘caching_sha2_password‘ cannot be loaded问题
此博客内容主要是小可日常工作中的一些问题解决的记录整理而成
08-15 4824
出现这个原因是mysql8 之前的版本中加密规则是mysql_native_password,而在mysql8之后,加密规则是caching_sha2_password。解决问题方法有两种,一种是升级navicat驱动(博主用的是navicat是19年装的了,其他软件同理),另一种是把mysql用户登录密码加密。//此处请自定义密码,红色的root就是博主自定义的密码。//更新一下用户的密码(可以直接复制)//修改加密规则(可以直接复制)//刷新权限(可以直接复制)3、刷新权限并重置密码。
mysql Bugs 之 mysql8.x 登录中遇到 caching_sha2_password 问题解决
m0_47448095的博客
03-20 1030
一、 问题来源 本地测试安装的是mysql8.x 生产环境的是mysql5.x 登录时就会显现 caching_sha2_password 的错误提示 二、问题分析 官方解释: Starting with MySQL 8.0.4, we are changing the default authentication plugin for MySQL server from mysql_native_password to caching_sha2_password. Correspondingly,
MySQL8.0登录 提示 caching_sha2_password
星宇的博客
06-15 2598
1.情况如下: 如果忘记密码,可以在mysql的.my.ini 里面配置该参数,可以跳过密码验证: [mysql] skip-grant-tables 2.通过cmd登录mysql mysql -u root -p use mysql; SELECT Host, User, plugin from user; 可以看到 root用户的验证器插件为caching_sha2_password 3.修改身份验证类型(修改密码) :xxxxx为自己的密码 ALTER...
MySQL8.0的caching_sha2_password问题
热门推荐
憧憬,思考,奋斗,飞翔
07-22 5万+
问题描述及分析 安装MySQL8.0后,使用MySQL Workbench登录时报以下错误 分析及查找相关资料后,发现MySQL8.0采用了新的更安全的验证方式,详情请查看mysql-8-0-4-new-default-authentication-plugin-caching_sha2_password 不过,为什么增加了新的验证方式,就登录不了了呢,看提示是少了文件/usr/lib/...
MySQL 8.0开始将caching_sha2_password作为默认的身份验证插件
小红旗
09-27 1万+
MySQL 8.0开始将caching_sha2_password作为默认的身份验证插件 该caching_sha2_passwordsha256_password认证插件提供比mysql_native_password插件更安全的密码加密 ,并 caching_sha2_password提供了比更好的性能sha256_password。由于这些优越的安全性和性能特性 caching_...
MySQL密码复杂度与caching_sha2_password插件
08-15
MySQL密码的复杂度与caching_sha2_password插件有关。caching_sha2_passwordMySQL 8.0中的默认身份验证插件,它使用SHA256哈希算法对密码进行加密存储。在存储密码时,该插件使用盐(salt)来增加安全性,并使用多轮哈希(数千轮)来增加密码的强度。这样做可以防止蛮力攻击和密码的反向工程。 使用caching_sha2_password插件,MySQL会要求密码满足一定的复杂度要求,例如包含至少一个特殊字符、一个大写字母、一个小写字母和一个数字。这样可以确保密码足够强壮,难以猜测和破解。如果密码不符合要求,MySQL会拒绝创建或修改用户的密码。 为了提高安全性,建议使用较长且复杂的密码,并定期更换密码。这样可以有效防止未经授权的用户获取数据库的访问权限。此外,及时更新MySQL及相关软件的版本,以确保使用最新的安全性补丁和功能。 如果你遇到无法加载插件缓存sha2密码的问题,可能是由于旧版本的客户端不支持caching_sha2_password插件。解决方法是升级客户端或使用支持该插件的最新版本的工具,如sqlyog。提供了更详细的MySQL密码复杂度与密码过期策略介绍,你可以进一步了解和学习。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [远程连接MySQL错误“plugin caching_sha2_password could not be loaded”的解决办法](https://blog.csdn.net/qq_41538097/article/details/106905416)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [MySQL新密码机制介绍caching_sha2_password](https://blog.csdn.net/weixin_49319422/article/details/127449897)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值