Отличие md5 от scram-sha-256 в pg_hba.conf postgresql?

Question

[f0kusn1k]

В чем отличие md5 от scram-sha-256 в pg_hba.conf postgresql?
На стаковерфлой постоянно рекомендую менять на md5, хотя изначально в конфиге те настройки, которые есть, они с scram-sha-256? И что в каком случае всё-таки лучше ставить?

Comments

[Everything_is_bad]

в чем проблема прочитать доки?
в чём проблема этот же вопрос один-во-один не написать в гугле? там даже внезапно, первый ответ, ссылается на документацию, которая переведена на русский, где реально объяснено отличие

Answer 1

[Rsa97]

Разные методы аутентификации клиентов БД. Влияют на хранение паролей клиентов и процесс аутентификации.
scram-sha-256 безопаснее, но может не поддерживаться старыми версиями клиентов.
https://www.postgresql.org/docs/current/auth-passw...

Answer 2

[Melkij]

Аутентификация через метод md5 выполнит парольную проверку как для пароля сохранённого с password_encryption = md5 (ныне уже deprecated, но встречается в большинстве баз, созданных не недавно), так и пароли сохранённые в scram-sha-256. Реализацию pg_hba md5 специально расширили при появлении scram-sha-256 таким образом, для облегчения миграции.

Указание scram-sha-256 в pg_hba будет требовать именно пароль согласно scram-sha-256 и не будет принимать пароли старых учётных записей, созданных с md5 encryption.

Вполне вероятно, что у вашей базы password_encryption сконфигурирован в scram-sha-256, все пользователи кто имеет пароли, так же в scram-sha-256 и нужды в md5 аутентификации в pg_hba нет.