Re: Cambiar la encriptacion de clave de usuarios en postgres

Hola Lista

Para el tema del almacenamiento de contraseñas de roles en la base de
datos en la versión 10 da soporte a scram-sha-256

https://www.postgresql.org/docs/10/static/auth-pg-hba-conf.html

https://www.postgresql.org/docs/10/static/sql-createrole.html

"The password is always stored encrypted in the system catalogs. The
ENCRYPTED keyword has no effect, but is accepted for backwards
compatibility. The method of encryption is determined by the configuration
parameter password_encryption
<https://www.postgresql.org/docs/10/static/runtime-config-connection.html#guc-password-encryption>.
If the presented password string is already in MD5-encrypted or
*SCRAM-encrypted* format, then it is stored as-is regardless of
password_encryption (since the system cannot decrypt the specified
encrypted password string, to encrypt it in a different format). This
allows reloading of encrypted passwords during dump/restore."

El 13 de septiembre de 2017, 11:46, jvenegasperu .<jvenegasperu(at)gmail(dot)com>
escribió:

> Buen dia a todos
>
> Mi consulta es la siguiente de que manera puedo cambiar la forma como
> encripta postgres la clave de los usuarios
>
> si reviso con pgadmin los usuarios tengo esto:
>
> CREATE ROLE usuario LOGIN
>
> ENCRYPTED PASSWORD 'md5251d4f66cf397018944fa0d3ab41a819'
> NOSUPERUSER NOINHERIT NOCREATEDB NOCREATEROLE NOREPLICATION;
>
> Segun la doc esto es MD5. En el sistema que utilizo tengo una tabla de
> usuarios que se corresponde con cada usuario creado a nivel de base de
> datos en el servidor postgres, pero resulta que ahora debido a que
> supuestamente MD5 ya no es tan seguro como antes me han pedido que la
> encriptacion de la clave de usuarios sea alguno de estos:
>
> SHA1, SHA256, SHA512
>
> En mi caso tengo una pantalla para crear los usuarios y cada vez que se
> graba un registro en la tabla se dispara un trigger que crea el usuario
> como un rol de postgres con su respectiva clave
>
> Esto es asi ya que en algunos casos uso la tabla de base de datos para
> validar el usuario y en otros casos uso directamente el usuario de base de
> datos como cuando uso QGIS.
>
> SI bien las claves estan encriptadas con MD5 quisiera saber con que
> instruccion puedo crear el usuario indicando que el metodo de encriptacion
> es por ejemplo SHA1 o algun otro y ya no usar MD5.
>
> Atte
>
> --
> José Mercedes Venegas Acevedo
> cel Mov RPC 964185205
>
> Member of the PHP Documentation Group (Spanish)
>

--
Cordialmente,

Ing. Hellmuth I. Vargas S.
Esp. Telemática y Negocios por Internet
Oracle Database 10g Administrator Certified Associate
EnterpriseDB Certified PostgreSQL 9.3 Associate