Serveur Apache HTTP Version 2.5
Notes à propos des formats de chiffrement des mots de passe générés et reconnus par Apache.
Voici les cinq formats de mots de passe qu'Apache reconnaît pour l'authentification de base. Notez que tous les formats ne sont pas supportés par toutes les plates-formes :
crypt(3)
avec une source d'entropie sur 32 bits
(seuls 12 bits sont utilisés), et seulement les 8 premiers
caractères du mot de passe. Non sécurisé.
$ htpasswd -nbB monNom Mon-Mot-de-passe
monNom:$2y$05$c4WoMPo3SXsafkva.HHa6uXQZWr7oboPiC2bT/r7q1BB8I2s0BRqC
$ htpasswd -nbm monNom Mon-Mot-de-passe
monNom:$apr1$r31.....$HqJZimcKQFAMYayBlzkrA/
$ htpasswd -nbs monNom Mon-Mot-de-passe
monNom:{SHA}VBPuJHI7uixaa6LQGWx4s+5GKNE=
$ htpasswd -nbd monNom Mon-Mot-de-passe
monNom:rqXexS6ZhobKA
OpenSSL connaît l'algorithme MD5 spécifique à Apache.
$ openssl passwd -apr1 Mon-Mot-de-passe
$apr1$qHDFfhPC$nITSVHgYbDAK1Y0acGRnY0
openssl passwd -crypt Mon-Mot-de-passe
qQ5vTYO3c8dsU
La source d'entropie pour un mot de passe CRYPT est constituée
des deux premiers caractères (convertis en valeur binaire). Pour
valider Mon-Mot-de-passe
par rapport à
rqXexS6ZhobKA
$ openssl passwd -crypt -salt rq Mon-Mot-de-passe
Warning: truncating password to 8 characters
rqXexS6ZhobKA
Notez que spécifier Mon-Mot-
au lieu de
Mon-Mot-de-passe
produira le même résultat car seuls
les 8 premiers caractères des mots de passe CRYPT sont pris en
compte.
La source d'entropie pour un mot de passe MD5 se situe entre
$apr1$
et le caractère $
suivant (sous
la forme d'une valeur binaire codée en Base64 - au maximum 8
caractères). Pour valider Mon-Mot-de-passe
par rapport
à $apr1$r31.....$HqJZimcKQFAMYayBlzkrA/
$ openssl passwd -apr1 -salt r31..... Mon-Mot-de-passe
$apr1$r31.....$HqJZimcKQFAMYayBlzkrA/
La variante SHA1 constitue probablement le format le mieux approprié pour l'authentification DBD. Comme les fonctions SHA1 et Base64 sont en général disponibles, d'autres logiciels peuvent renseigner une base de données avec des mots de passe chiffrés utilisables par l'authentification basique d'Apache.
Pour créer des mots de passe au format SHA1 pour l'authentification de base d'Apache dans divers langages :
'{SHA}' . base64_encode(sha1($password, TRUE))
"{SHA}" + new sun.misc.BASE64Encoder().encode(java.security.MessageDigest.getInstance("SHA1").digest(password.getBytes()))
"{SHA}" & ToBase64(BinaryDecode(Hash(password, "SHA1"), "Hex"))
require 'digest/sha1'
require 'base64'
'{SHA}' + Base64.encode64(Digest::SHA1.digest(password))
Utilisez la fonction APR : apr_sha1_base64
'{SHA}'||encode(digest(password,'sha1'),'base64')
Apache ne reconnaît qu'un format pour les mots de passe
d'authentification à base de condensés - le condensé MD5 de la
chaîne utilisateur:domaine-de-protection:mot-de-passe
sous la forme d'une chaîne de 32 caractères au format hexadécimal.
domaine-de-protection
est l'identifiant du domaine de
protection de l'autorisation passé en argument à la directive
AuthName
dans
httpd.conf.
Comme la fonction MD5 est en général disponible, d'autres logiciels peuvent renseigner une base de données avec des mots de passe chiffrés utilisables par l'authentification à base de condensés d'Apache.
Pour créer des mots de passe pour l'authentification à base de condensés d'Apache dans divers langages :
md5($user . ':' . $realm . ':' .$password)
byte b[] = java.security.MessageDigest.getInstance("MD5").digest( (user + ":" + realm + ":" + password ).getBytes());
java.math.BigInteger bi = new java.math.BigInteger(1, b);
String s = bi.toString(16);
while (s.length() < 32)
s = "0" + s;
// La chaîne s contient le mot de passe chiffré
LCase(Hash( (user & ":" & realm & ":" & password) , "MD5"))
require 'digest/md5'
Digest::MD5.hexdigest(user + ':' + realm + ':' + password)
encode(digest( user || ':' || realm || ':' || password , 'md5'), 'hex')