Postgresql 中文操作指南
F.26. passwordcheck — verify password strength #
passwordcheck 模块在使用 CREATE ROLE 或 ALTER ROLE 设置用户密码时检查这些密码。如果密码被认为太弱,将被拒绝,命令将以错误终止。
The passwordcheck module checks users' passwords whenever they are set with CREATE ROLE or ALTER ROLE. If a password is considered too weak, it will be rejected and the command will terminate with an error.
Để kích hoạt mô-đun này, hãy thêm '$libdir/passwordcheck' vào shared_preload_libraries trong postgresql.conf, sau đó khởi động lại máy chủ.
To enable this module, add '$libdir/passwordcheck' to shared_preload_libraries in postgresql.conf, then restart the server.
Bạn có thể điều chỉnh mô-đun này theo nhu cầu bằng cách thay đổi mã nguồn. Ví dụ: bạn có thể sử dụng CrackLib để kiểm tra mật khẩu — chỉ cần bỏ chú thích cho hai dòng trong Makefile và xây dựng lại mô-đun. (Chúng tôi không thể bao gồm CrackLib theo mặc định vì lý do cấp phép.) Không có CrackLib, mô-đun áp dụng một số quy tắc đơn giản để tăng cường độ mạnh cho mật khẩu, bạn có thể sửa đổi hoặc mở rộng các quy tắc này theo ý mình.
You can adapt this module to your needs by changing the source code. For example, you can use CrackLib to check passwords — this only requires uncommenting two lines in the Makefile and rebuilding the module. (We cannot include CrackLib by default for license reasons.) Without CrackLib, the module enforces a few simple rules for password strength, which you can modify or extend as you see fit.
Caution
为防止未加密的密码通过网络发送、写入服务器日志或以其他方式被数据库管理员窃取,PostgreSQL 允许用户提供预加密的密码。许多客户端程序会使用此功能,并在将密码发送到服务器之前对其进行加密。
To prevent unencrypted passwords from being sent across the network, written to the server log or otherwise stolen by a database administrator, PostgreSQL allows the user to supply pre-encrypted passwords. Many client programs make use of this functionality and encrypt the password before sending it to the server.
Điều này hạn chế tính hữu dụng của mô-đun passwordcheck, bởi vì trong trường hợp đó nó chỉ có thể thử đoán mật khẩu. Vì lý do này, không nên sử dụng passwordcheck nếu yêu cầu của bạn về bảo mật cao. Sử dụng phương thức xác thực bên ngoài như GSSAPI (xem Chapter 21) sẽ an toàn hơn so với việc dựa vào mật khẩu bên trong cơ sở dữ liệu.
This limits the usefulness of the passwordcheck module, because in that case it can only try to guess the password. For this reason, passwordcheck is not recommended if your security requirements are high. It is more secure to use an external authentication method such as GSSAPI (see Chapter 21) than to rely on passwords within the database.
或者,你可以修改 passwordcheck 以拒绝预加密的密码,但是强制用户以明文形式设置密码会带来自己的安全风险。
Alternatively, you could modify passwordcheck to reject pre-encrypted passwords, but forcing users to set their passwords in clear text carries its own security risks.