MySQL身份验证插件
1.问题
MySQL客户端连接数据库的时候,提示这个错误
ERROR 2059 (HY000): Plugin caching_sha2_password could not be loaded:
/usr/lib64/mariadb/plugin/caching_sha2_password.so: cannot open shared object file: No such file or directory
这个其实是MySQL新的身份验证插件caching_sha2_password的问题
2.介绍
从MySQL8.0.4开始,MySQL默认的身份验证插件从mysql_native_password改为caching_sha2_password。相应地,libmysqlclient也使用caching_sha2_password作为默认的身份验证机制
mysql_native_password_15">3.mysql_native_password身份验证插件
介绍
在这之前MySQL5.6/5.7使用的默认密码插件是mysql_native_password。mysql_native_password的特点是不需要加密的连接。该插件验证速度特别快,但是不够安全,因为,mysql_native_password使用的是于SHA1算法,NIST(美国国家标准与技术研究院)在很早之前就已建议停止使用SHA1算法因为SHA1和其他哈希算法(例如 MD5)容易被破解
改进方案
其实从MySQL 5.6开始就引入了更安全的认证机制:ha256_password认证插件。它使用一个加盐密码(salted password)进行多轮SHA256哈希(数千轮哈希,暴力破解更难),以确保哈希值转换更安全。但是,建立安全连接和多轮hash加密很耗费时间。虽然安全性更高,但是验证速度不够快
工作机制
mysql_native_password作为 MySQL5.6/5.7的默认密码插件其优点是它支持challenge-response(挑战应答方式),这是非常快的验证机制,无需在网络中发送实际密码,并且不需要加密的连接
客户端连接MySQL实例时,首先需要从服务器端获得一个20字节的随机数
此外,mysql_native_password 使用了新的哈希算法进行认证校验。对于用户的原始密码,通过SHA1(SHA1(password))两次哈希计算结果保存在mysql.user表的 authentication_string列中。其中用户密码通过哈希计算后保存,没有加盐(salt)
通过上述这样的处理,MySQL数据库本身已然非常安全。然而,随着时间的推移,目前存在以下两种潜在风险:
- SHA1哈希算法也已经变得比较容易破解
- 相同的密码拥有相同的哈希值
SHA1、MD5等之前的哈希算法都已然不再安全,更为安全的SHA256、SHA512哈希算法也已推出。作为数据存储最终承载者,应该使用更新的加密机制机制
4.caching_sha2_password身份验证插件
介绍
MySQL试图结合二者的优点。于是在MySQL8.0.3引入了一个新的身份验证插件caching_sha2_password,作为sha256_password的代替方案,在sha256_password的基础上进行了改进补上了短板,既解决安全性问题又解决性能问题。与此同时sha256_password将退出时代的浪潮。MySQL预计在未来版本中将其删除。使用sha256_password进行身份验证的MySQL账户建议转为caching_sha2_password
建议
因为默认身份验证机制的更改,大家在使用MySQL8.0时候出现了很多相关的问题。网上的大部分教程都是教人改回mysql_native_password验证方式。但是笔者认为,MySQL更改默认插件是为了更好的安全性考虑。如果有MySQL服务要公网上使用,建议还是尽量使用caching_sha2_password作为认证插件
改进点
- 保存在authentication_string中的哈希值为加盐后的值,即使两个不同用户的密码相同,保存在计算机中的哈希值也不同
- 哈希算法升级为了更为安全SHA256算法
- 哈希算法的 round 次数从原来的两次,提升为了5000次,round次数越多,每次计算哈希值的代价越大,破解难度也就越大
- 用TLS的加密或RSA密钥传输方式从客户端将密码传送到服务端