我使用以下方法对密码进行加盐和哈希处理
public string CreateSalt(int size)
{
var rng = new System.Security.Cryptography.RNGCryptoServiceProvider();
var buff = new byte[size];
rng.GetBytes(buff);
return Convert.ToBase64String(buff);
}
public string GenerateSHA256Hash(String input, String salt)
{
byte[] bytes = System.Text.Encoding.UTF8.GetBytes(input + salt);
System.Security.Cryptography.SHA256Managed sha256hashstring =
new System.Security.Cryptography.SHA256Managed();
byte[] hash = sha256hashstring.ComputeHash(bytes);
return Convert.ToBase64String(hash);
}
public void Submit1_click(object sender, EventArgs r)
{
try
{
String salt = CreateSalt(10);
String hashedpassword = GenerateSHA256Hash(password1.Text, salt);
string MyConString = "SERVER=localhost;DATABASE=mydb;UID=root;PASSWORD=abc123;";
MySqlConnection connection = new MySqlConnection(MyConString);
string cmdText = "INSERT INTO authentication(agentlogin ,password ,question ,answer)VALUES ( @login, @pwd, @question, @answer)";
MySqlCommand cmd = new MySqlCommand(cmdText, connection);
cmd.Parameters.AddWithValue("@login", labeluname.Text);
cmd.Parameters.AddWithValue("@pwd", hashedpassword);
cmd.Parameters.AddWithValue("@question", ddlquestion.Text);
cmd.Parameters.AddWithValue("@answer", txtanswer.Text);
connection.Open();
int result = cmd.ExecuteNonQuery();
connection.Close();
lblmsg.Text = "Registered succesfully";
lblmsg.ForeColor = System.Drawing.Color.Green;
Response.Redirect("index.aspx");
}
catch (Exception)
{
Console.Write("not entered");
lblmsg.Text = "Registration failed!";
lblmsg.ForeColor = System.Drawing.Color.Red;
Response.Redirect("index.aspx");
}
}
所以我从上面获得了完全加密的密码,但是现在我无法使用在此输入的密码登录。登录时如何取消密码的密码?我认为我可以使用与加密相同的方法来取消哈希处理,但是盐化不会返回相同的值。 以下是验证页面上的代码
public string GenerateSHA256Hash(String input)
{
byte[] bytes = System.Text.Encoding.UTF8.GetBytes(input);
System.Security.Cryptography.SHA256Managed sha256hashstring =
new System.Security.Cryptography.SHA256Managed();
byte[] hash = sha256hashstring.ComputeHash(bytes);
return Convert.ToBase64String(hash);
}
public void Login_click(object sender, EventArgs r)
{
String hashedpassword = GenerateSHA256Hash(txtpassword.Text);
string MyConString = ConfigurationManager.ConnectionStrings["connStr"].ConnectionString;
MySqlConnection con = new MySqlConnection(MyConString);
MySqlCommand cmd = new MySqlCommand("select * from authentication where agentlogin=@username and password=@word", con);
cmd.Parameters.AddWithValue("@username", txtusername.Text);
cmd.Parameters.AddWithValue("@word", hashedpassword);
MySqlDataAdapter sda = new MySqlDataAdapter(cmd);
DataTable dt = new DataTable();
sda.Fill(dt);
con.Open();
int i = cmd.ExecuteNonQuery();
con.Close();
if (dt.Rows.Count > 0)
{
Session["id"] = txtusername.Text;
Response.Redirect("calendar.aspx");
Session.RemoveAll();
}
else
{
lblmsg.Text = "Credential doesn't match!";
lblmsg.ForeColor = System.Drawing.Color.Red;
}
}
答案 0 :(得分:3)
您必须先将盐储存起来,然后再将其添加到密码中并对其进行哈希处理。
因此,当有人尝试登录时,您将密码与存储的盐连接起来,然后可以对其进行哈希处理并将其与base中的现有哈希进行比较。
因此您的用户表至少应具有以下三列: 用户名,哈希密码,盐
更长的解释: 哈希函数是确定性的,但不可逆,因此,当用户首次创建密码时:
所以你有:hashedpassword = hashingfunction(password + salt)
当您尝试登录时:
在哈希密码旁边加盐并不能降低其安全性:盐的目的是防止使用rainbowtable
如果有人闯入您的数据库,由于大多数人会在许多不同的地方重复使用相同的密码和电子邮件,因此他可能会以用户的电子邮件和密码作为目标。
现在,由于哈希函数不可逆,攻击者唯一能做的就是尝试猜测密码并使用:p创建字典。
guessed_password => hash(guessed_password)
ex:
pet345 => 23FD7890F0F3FA3AE468F37CB900402A1F1977CF926F3452CA519056E16985AB
lola78 => 876B42DC10A0822CC52B894DC7517C784A542B43FB033B4A93635ADA67946B2E
lola79 => A7DCAF5195463FA367CDEA6F23688C1280EC98F4AF2B08BC3469D2496537D48D
lola80 => 8D8E1CF212F5DDC3CA1D510900382DF945625A9AE1584CE0D539B2C4D73717CB
如果您的数据库中包含hash(guessed_password),则他知道该(这些)用户的密码为guessed_password。
他可以用数十亿的guessed_passwords生成词典,并且由于许多用户未使用真正强大的密码,因此他很可能能够在词典中找到大量用户哈希。因此,如果他为“ lola80”和“ lola79”生成哈希,而这些哈希是您知道的2个用户的密码,那么
现在,如果您在输入的每个密码中添加一个随机盐,则由于必须这样做,他必须为每个盐生成完整的字典:
guessed_password + salt = hash(guessed_password + salt)
对于用户A带有'09ç@ p $'盐,他必须生成完整的词典,其中每个单词都以'09ç@ p $'结尾
现在,如果他想猜测与盐'Yuè45gh'关联的用户B的密码,他必须生成另一个词典,其中每个单词都以'Yuè45gh'结尾
基本上,它会由于your_number_of_users个因素而减慢猜测用户密码的过程。
答案 1 :(得分:3)
在用户表Username和Hash和Salt中创建一列
用户注册
1)从用户的注册表单中输入username或password。
2)使用以下方法为输入的密码创建哈希和盐值。
public class HashSalt
{
public string Hash { get; set; }
public string Salt { get; set; }
}
public static HashSalt GenerateSaltedHash(int size, string password)
{
var saltBytes = new byte[size];
var provider = new RNGCryptoServiceProvider();
provider.GetNonZeroBytes(saltBytes);
var salt = Convert.ToBase64String(saltBytes);
var rfc2898DeriveBytes = new Rfc2898DeriveBytes(password, saltBytes, 10000);
var hashPassword = Convert.ToBase64String(rfc2898DeriveBytes.GetBytes(256));
HashSalt hashSalt = new HashSalt { Hash = hashPassword, Salt = salt };
return hashSalt;
}
Rfc2898DeriveBytes类用于使用RFC2898规范生成哈希,该规范使用一种称为PBKDF2(基于密码的密钥派生功能#2)的方法,并且IETF(Internet工程任务组)目前建议该方法用于新应用。 / p>
3)然后将此Hash和Salt与用户记录一起存储在数据库中。
public void Submit1_click(object sender, EventArgs r)
{
//Your code here
HashSalt hashSalt = GenerateSaltedHash(password1.Text);
//Your code here
cmd.Parameters.AddWithValue("@hash", hashSalt.Hash);
cmd.Parameters.AddWithValue("@salt", hashSalt.Salt);
//You code here
}
用户登录
1)从用户的登录表单中输入username或password。
2)在Login_click中,从数据库中按用户名获取用户。
3)将存储的Hash和Salt传递给以下函数。
public static bool VerifyPassword(string enteredPassword, string storedHash, string storedSalt)
{
var saltBytes = Convert.FromBase64String(storedSalt);
var rfc2898DeriveBytes = new Rfc2898DeriveBytes(enteredPassword, saltBytes, 10000);
return Convert.ToBase64String(rfc2898DeriveBytes.GetBytes(256)) == storedHash;
}
4)然后通过验证密码登录您的用户。
public void Login_click(object sender, EventArgs r)
{
//You code here
User user = GetUserByUsername(txtUsername.Text);
bool isPasswordMatched = VerifyPassword(txtpassword.Text, user.Hash, user.Salt);
if (isPasswordMatched)
{
//Login Successfull
}
else
{
//Login Failed
}
//Your code here
}
答案 2 :(得分:0)
我认为我可以使用与加密相同的方法来对其进行散列处理,但是盐化处理不会返回相同的值。
您的意思是您又一次通过加盐机制发送了加盐密码,并且希望得到一个未隐藏的清晰密码?这没有任何意义。
因此,您添加了密码,并将其保存在某处。您现在要做的是,当用户输入密码时,您对这个新密码加盐并得到了加盐的密码。然后对照旧版本检查这个新版本;如果它们匹配,那就是正确的密码。