我正在编写自己的自定义成员资格提供程序,但使用的是会员提供商自己的EncodePassword方法,如下所示:
internal string EncodePassword(string pass, int passwordFormat, string salt)
{
if (passwordFormat == 0) // MembershipPasswordFormat.Clear
return pass;
byte[] bIn = Encoding.Unicode.GetBytes(pass);
byte[] bSalt = Convert.FromBase64String(salt);
byte[] bAll = new byte[bSalt.Length + bIn.Length];
byte[] bRet = null;
Buffer.BlockCopy(bSalt, 0, bAll, 0, bSalt.Length);
Buffer.BlockCopy(bIn, 0, bAll, bSalt.Length, bIn.Length);
if (passwordFormat == 1)
{ // MembershipPasswordFormat.Hashed
HashAlgorithm s = HashAlgorithm.Create( Membership.HashAlgorithmType );
bRet = s.ComputeHash(bAll);
} else
{
bRet = EncryptPassword( bAll );
}
return Convert.ToBase64String(bRet);
}
我现在知道在四处寻找数小时后,在.NET 4中使用的算法是HMACSHA256。我知道我需要一个密钥才能使算法正常工作。
我的问题是它是如何做到的?
我是否将密钥放在配置文件中并以某种方式引用它?
任何帮助将不胜感激!
感谢。
答案 0 :(得分:2)
不要使用SHA!。去下载BCrypt.Net。 SHA在散列时速度太快,这使得用它加密的任何东西都很容易暴力破解。由于可配置的工作因素,BCrypt速度较慢,因此虽然用户不能接受,但在尝试每秒强行700m键时,你根本无法做到。
一旦你有了bcrypt,你需要做的就是:
private static readonly int BCRYPT_WORK_FACTOR = 10;
string hashedPassword = BCrypt.Net.BCrypt.HashPassword(account.HashedPassword, BCRYPT_WORK_FACTOR);
并检查密码:
bool matched = BCrypt.Net.BCrypt.Verify(password, match.HashedPassword))
我已经在这里更深入地写了http://www.danharman.net/2011/06/25/encrypting-hashing-passwords-for-your-website/