密码哈希和验证不匹配

时间:2015-03-10 03:12:40

标签: c# asp.net hash cryptography passwords

我正在为ASP.NET MVC 5编写自定义表单身份验证(不,我不想使用ASP.NET身份)。我正在尝试使用随机生成的哈希密码来哈​​希,然后使用SHA512哈希salt+password。以下是我写的方法:

private static User SetPassword(User newUser, string password)
{
    var rand = RNGCryptoServiceProvider.Create();
    var saltBytes = new byte[128];
    var passwordBytes = Encoding.UTF8.GetBytes(password);
    rand.GetNonZeroBytes(saltBytes);

    var passHash = SHA512Managed.Create().ComputeHash(saltBytes.Concat(passwordBytes).ToArray());

    var hash = Encoding.UTF8.GetString(passHash);
    var salt = Encoding.UTF8.GetString(saltBytes);

    newUser.PasswordHash = hash;
    newUser.Salt = salt;

    return newUser;
}

private static bool ValidatePassword(User user, string passwordTry)
{
    var actualPasswordBytes = Encoding.UTF8.GetBytes(user.PasswordHash);

    var passwordTryBytes = Encoding.UTF8.GetBytes(passwordTry);
    var saltBytes = Encoding.UTF8.GetBytes(user.Salt);

    var passwordTryHashBytes = SHA512Managed.Create().ComputeHash(saltBytes.Concat(passwordTryBytes).ToArray());
    if (passwordTryHashBytes == actualPasswordBytes)
    {
        return true;
    }
    return false;
}

如果我单步执行代码,则注册(SetPassword())方法似乎成功运行。用户的记录使用UTF-8编码的密码哈希和盐进行设置。

如果我单步执行密码验证方法,一切似乎也正常运行。根据密码try。检查用户的记录(salt和hash)。

问题是,当我注册密码然后尝试以该用户身份登录时,密码验证失败。我可能不明白其中一个密码学课程如何工作......任何人都可以解释为什么这不起作用?

1 个答案:

答案 0 :(得分:1)

以下代码将始终失败,因为两个对象都没有指向相同的引用:

if (passwordTryHashBytes == actualPasswordBytes)

尝试使用LINQ的SequenceEqual()方法

passwordTryHashBytes.SequenceEqual(actualPasswordBytes)