[基礎] MySQL5.6的密碼存放方式

環境：

CentOS6.8x86_64

MySQL 5.6社區版

selectuser,host,password from mysql.user where user = 'rpl';

+——+——+——————————————-+

| user | host |password |

+——+——+——————————————-+

| rpl | % | *624459C87E534A126498ADE1B12E0C66EDA035A3|

+——+——+——————————————-+

查閱文檔發現MySQL的密碼加密演算法如下：

MySQL實際上是使用了兩次SHA1夾雜一次unhex的方式對用戶密碼進行了加密。

具體的演算法可以用公式表示：password_str= concat('*', sha1(unhex(sha1(password))))

實驗驗證：

select password('rpl'),concat('*',sha1(unhex(sha1('rpl'))));

可以看到二者計算出的密碼是一致的。

MySQL5.6密碼的安全性

實驗發現在5.6.34上面，執行create user abc@'%' identified by 'Abcd@1234'; 這種語句在binlog裡面不會顯示明文密碼的。

官方說明中，如下的幾種那個授權策略都不會記錄下明文密碼了。

CREATE USER …IDENTIFIED BY …

GRANT … IDENTIFIED BY…

SET PASSWORD …

SLAVE START …PASSWORD = … (as of 5.6.4)

CREATE SERVER …OPTIONS(… PASSWORD …) (as of 5.6.9)

ALTER SERVER …OPTIONS(… PASSWORD …) (as of 5.6.9)

但是，如果留心的話，會發現在配置主從環境時候，從節點執行類似下面：

CHANGE MASTER TO

MASTER_HOST='192.168.2.11',

MASTER_USER='rpl',

MASTER_PASSWORD='rpl',

MASTER_PORT=3306,

MASTER_LOG_FILE='mysql-bin.000012',

MASTER_LOG_POS=500,

時候會有warning提示。

這是因為 change master to 這個操作還是記錄的明文密碼的。