我正在努力加强我的C#应用程序的身份验证的安全性。 我有自己的服务器,我进行身份验证,并实现了一个服务,可以从动态生成的随机盐创建新的密码哈希,并可以根据保存的密码+哈希值进行验证密码。我将散列的pw + salt保存在服务器端的xml文件中。
Q1。存储盐是否更安全,然后让用户每次开始观察时输入密码? Q2。我希望为用户(公司LAN内部)提供便利,并允许根据其AD登录用户名“自动”进行身份验证。做这个的最好方式是什么?我可以在客户端保存每周超时的令牌或证书吗?
干杯, 拉塞
答案 0 :(得分:0)
简答:BCrypt
如this answer中所述:
Bcrypt拥有加密算法可以实现的最佳声誉:它已经存在了相当长的一段时间,使用相当广泛,并引起了人们的注意,并且迄今为止仍然没有中断。 / p>
我已经写了一篇关于如何在各种框架中实现BCrypt的详细文章:http://davismj.me/blog/bcrypt