MySQL的密码hash算法

MySQL的身份认证协议是一种CHAP协议,即,挑战应答。

S->C : public_seed

C->S: username, reply

S->C: Ok or error

对于4.1及以后版本,public_seed是随机生的20个可打印的ASCII字符

然后客户端这么计算reply:
passphrase=sha1("password")
storedhash=sha1(passphrase)
reply=xor(passphrase, sha1(public_seed,storedhash)

其中storedhash即是服务器存在数据库中的hash过的密码。

然后服务器在收到reply后这么对比:

先从数据库中根据username查到storedhash。

然后计算passphrase。原理是xor是可逆的。
passphrase=xor(reply, sha1(public_seed,storedhash))

然后对passphrase做sha1,和storedhash做二进制比较
sha1(passphrase)==storedhash

求懂安全协议的童鞋评价下上述协议。

此博客中的热门博文

少写代码,多读别人写的代码

在windows下使用llvm+clang

tensorflow distributed runtime初窥