散列密码的最佳做法

时间:2013-11-25 06:53:46

标签: c# password-encryption

我想知道在数据库中使用哪种方法存储密码。我使用MD5实现了它,但根据一些帖子,SHA1更安全。还有其他更安全的方法吗? 请帮我找出保护密码的最佳方法。

2 个答案:

答案 0 :(得分:22)

当然,SHA1比MD5更安全,但对于大多数用途来说,它还不够安全。

您可能会发现有用的视频How NOT to Store Passwords by Computerphile - 9分24秒。

您必须意识到在身份验证和访问控制方面有很多内容,因此使用良好的哈希方案是不够的。


存储密码。

如您所知,您不会存储密码。事实上,在存储密码方面,一般而言,您希望使用为此目的而优化的现代算法来存储密码的盐渍哈希值。对于salt,可以将它与哈希一起存储,因为salt值尽可能使用随机值。

注意:出于安全目的生成随机值时,请使用加密安全生成器(例如RandomNumberGenerator for .NET - example的子类)。这个随机数发生器的设计很难预测。虽然标准随机数生成器是可重复的(即System.Random,但您需要的是生成所有值的种子,并且猜测所需的种子是使用相同种子生成的足够的连续值)。

另请注意:大多数哈希都经过优化,可以快速计算,在该类别中同时包含MD5和SHA1。 您应该选择一个不那么快的 ,以便在尝试破解密码时攻击将花费合理的时间来计算哈希值。

一个这样的算法是BCrypt - 其他包括Scrypt和PBKDF2 - 在使用C#的BCrypt时你会发现文章Use BCrypt to Hash Your Passwords: Example for C# and SQL Server很有用。如果您无法为BCrypt或类似算法提供资源,则应至少使用SHA2的变体(SHA256,SHA512等)。

附录:您可以使用BLC中提供的班级HMACSHA256作为密钥派生函数,将您的盐作为密钥传递。这是优选的附加或预先添加盐(可能降至Length extension attacks)。也就是说,如果您使用HMAC,并且您的哈希算法对于长度扩展攻击(已知或将被发现)是有趣的,那么您的系统是安全的。 MD5,SHA1和SHA2易受此类攻击。 SHA3​​不是。遗憾的是,SHA3不包含在BLC中(不,它不是SHA384),您可以从Multiformats.HashHashLib获取。我必须提到SHA3在硬件中实现时也设计得很快。请记住,对于密码,慢速哈希更好


附录:Argon2

作为it was pointed a year ago,此答案应更新为Argon2。在此之前我确实写了原始答案。

当时,我还没有找到我愿意推荐的C#实现。由于这个答案引起了我的注意,我又看了一眼,现在已不再是这样了。

您可以使用具有完全托管代码的Isopoh.Cryptography.Argon2(它不是C ++实现的C#绑定,但是完整的C#代码),适用于所有主要平台,并且有可用的Nugets。

备注

  • 使用Argon2Version.Nineteen。这是修复已知漏洞的Argon2 v.1.3(Nineteen = 0x13)。
  • 使用Argon2Type.DataDependentAddressin(Argon2d),或将Argon2Type.DataIndependentAddressing(Argon2i)与TimeCost >= 10一起使用。理论上,Argon2d容易受到侧通道攻击,因此建议不要在客户端计算机上运行代码。 Isopoh.Cryptography.Argon2通过使用OS调用来防止敏感内存被移动到虚拟内存/页面文件/交换并尽快将其归零,从而缓解了这种情况。另一方面,Argon2i具有时间 - 内存权衡漏洞,允许通过使用更多内存来更快地计算哈希值。论文Towards Practical Attacks on Argon2i and Balloon Hashing表明,即使在Argon2 v.1.3中,您也需要10次迭代/传递才能使利用效率低下。

以下是一些推荐阅读材料:

视频:Crypto is Back! - Google Tech Talk - 2009年8月5日 - 长54分32秒。


在恢复密码时。

首先:不要。密码恢复选项的目的不是恢复密码,而是恢复对应用程序的访问。那么......你如何恢复对应用程序的访问?

我很高兴你问。您需要的是另一种验证用户身份的方法。这可能是第二个因素身份验证(从安全问题到使用硬件密钥生成器)。然而,经常做的是为第三方提供资源,例如邮件。

因此,您想知道用户是否是用户之前声称拥有的电子邮件(或手机或其他)的所有者。为此,您需要将代码(通常称为令牌或cookie)发送到该电子邮件(或其他任何内容)。这必须是带有加密安全生成器的随机生成代码,以便其他人 - 除了该电子邮件的所有者(或其他任何人) - 将能够知道该代码是什么。

现在,如果用户向您的应用程序提供该代码,那么您几乎确定它是正确的用户。

几乎因为:电子邮件(或其他)可能已存储在不安全的位置。为了缓解这种情况,您希望对代码(cookie或令牌)设置时间限制。此外,如果已使用代码,则应 NOT 再次使用。为了获得额外的安全性,您可以为CAPTCHA提供资源,以确保此代码不会来自幸运的机器人。

有关此主题的更多信息(此链接也在上面提供):

答案 1 :(得分:2)

SHA1的漏洞比MD5少。这是一种更新的算法,它利用更多的比特,需要更多的处理才能“破解”。您可以在此处查看大多数主流哈希算法及其已知漏洞:http://en.wikipedia.org/wiki/Cryptographic_hash_function

正如有人已经评论过的那样,一定要确保在密码哈希中添加“salt”以进一步模糊任何可能的模式。