我们正在实施一个新的电子商务平台,我们希望确保不会出现安全部门可以避免的错误。
这一次,我看了一下密码存储和散列。我们目前的工作:
我们从0-36和125-255范围生成8到16个随机字节,将此作为密码使用盐,然后将SHA512用于100k次。然后我们在用户帐户中存储密码和盐。
解决方案是在C#中。为盐输入的随机化添加什么?还是我们错过了一些关键的东西?
答案 0 :(得分:3)
请不要自己发明 - 有经验证的标准方法(包括多次散列等),例如参见http://en.wikipedia.org/wiki/PBKDF2和http://msdn.microsoft.com/en-us/library/system.security.cryptography.rfc2898derivebytes.aspx