PostgreSQL oficjalnie rozpoczął proces wycofywania wsparcia dla haseł MD5. W najnowszej wersji (PostgreSQL 18) pojawiły się komunikaty ostrzegawcze informujące o planowanym zakończeniu wsparcia tej metody.
Plan wycofania MD5 rozłożony jest na kilka lat:
- PostgreSQL 19: możliwość autoryzacji z użyciem MD5, ale bez możliwości tworzenia nowych haseł
- PostgreSQL 20: całkowite wyłączenie autoryzacji MD5
- PostgreSQL 21: brak możliwości migracji starych haseł MD5, całkowite usunięcie wsparcia
Zalecana jest migracja na bezpieczniejszą metodę SCRAM-SHA-256, dostępną od wersji 10, która nie jest podatna na ataki pass-the-hash.
Dla osób chcących tymczasowo wyłączyć ostrzeżenia o wycofywaniu wsparcia, dostępny jest parametr md5_password_warnings=off.
Źródło:
https://www.phoronix.com/news/PostgreSQL-Deprecates-MD5-Pass