Openwall John项目支持PostgreSQL SCRAM-SHA-256认证机制

PostgreSQL数据库系统从10.0版本开始引入了SCRAM-SHA-256作为默认的密码认证机制，取代了之前不安全的MD5认证方式。SCRAM（Salted Challenge Response Authentication Mechanism）是一种基于哈希的挑战-响应认证协议，提供了比传统方法更强的安全性。

在开源密码分析工具John the Ripper（Openwall项目）的最新开发中，开发团队正在实现对PostgreSQL SCRAM-SHA-256格式的支持。这种密码哈希格式具有特定的结构：

SCRAM-SHA-256$<迭代次数>:<Base64编码的盐值>$<Base64编码的存储密钥>:<Base64编码的服务端密钥>

PostgreSQL将用户密码以这种格式存储在系统目录pg_authid中。例如一个实际的哈希值可能如下所示：

SCRAM-SHA-256$4096:Wn/IWH721Aj+HbEQRJiD3A==$xtjWYz23fPW4dXUZMzTup6bUOqSAVzlChcrhHCfIXfo=:EyLID0avoAyy1JzKwD7yKQ9HuWQ0VlSurm180/sQFYE=

为了支持这种格式，John开发团队面临几个技术挑战：

1. 字段分隔符处理：PostgreSQL格式使用了冒号(:)作为字段分隔符，这与John现有的哈希格式处理方式不同。团队决定通过实现prepare方法来解决这个问题，该方法能够将这些字符串转换为John可以处理的格式。

2. 盐值长度可变性：与MongoDB等系统使用的固定长度盐值不同，PostgreSQL允许可变长度的盐值。原有代码只能处理特定长度的盐值，需要进行修改以支持任意长度的盐值（在合理范围内）。

3. 哈希展示优化：当前实现中，当使用--show选项显示分析结果时，输出格式包含了一些冗余信息。开发团队计划进一步优化哈希加载器，使其能够更智能地处理这些数据。

这项开发工作将使John成为更全面的密码评估工具，能够有效分析使用PostgreSQL SCRAM-SHA-256认证的系统密码强度。对于安全研究人员和系统管理员来说，这意味着他们现在可以使用John来测试PostgreSQL数据库中的密码安全性，确保它们能够抵御暴力攻击。

PostgreSQL SCRAM-SHA-256的实现遵循RFC 7677标准，但有其特定的存储格式。了解这些格式细节对于开发密码分析工具和进行安全评估都至关重要。随着越来越多的数据库系统采用SCRAM认证机制，John对这些格式的支持将变得越来越重要。