我使用下面的方法来对密码进行加盐和散列
public string CreateSalt(int size)
{
var rng = new System.Security.Cryptography.RNGCryptoServiceProvider();
var buff = new byte[size];
rng.GetBytes(buff);
return Convert.ToBase64String(buff);
}
public string GenerateSHA256Hash(String input, String salt)
{
byte[] bytes = System.Text.Encoding.UTF8.GetBytes(input + salt);
System.Security.Cryptography.SHA256Managed sha256hashstring =
new System.Security.Cryptography.SHA256Managed();
byte[] hash = sha256hashstring.ComputeHash(bytes);
return Convert.ToBase64String(hash);
}
public void Submit1_click(object sender, EventArgs r)
{
try
{
String salt = CreateSalt(10);
String hashedpassword = GenerateSHA256Hash(password1.Text, salt);
string MyConString = "SERVER=localhost;DATABASE=mydb;UID=root;PASSWORD=abc123;";
MySqlConnection connection = new MySqlConnection(MyConString);
string cmdText = "INSERT INTO authentication(agentlogin ,password ,question ,answer)VALUES ( @login, @pwd, @question, @answer)";
MySqlCommand cmd = new MySqlCommand(cmdText, connection);
cmd.Parameters.AddWithValue("@login", labeluname.Text);
cmd.Parameters.AddWithValue("@pwd", hashedpassword);
cmd.Parameters.AddWithValue("@question", ddlquestion.Text);
cmd.Parameters.AddWithValue("@answer", txtanswer.Text);
connection.Open();
int result = cmd.ExecuteNonQuery();
connection.Close();
lblmsg.Text = "Registered succesfully";
lblmsg.ForeColor = System.Drawing.Color.Green;
Response.Redirect("index.aspx");
}
catch (Exception)
{
Console.Write("not entered");
lblmsg.Text = "Registration failed!";
lblmsg.ForeColor = System.Drawing.Color.Red;
Response.Redirect("index.aspx");
}
}
所以我从上面得到了完全加密的密码,但现在我无法使用在那里输入的密码登录。登录时如何取消密码?我想我可以使用相同的加密方法来取消它,但盐析不会返回相同的值。以下是验证页面上的代码
public string GenerateSHA256Hash(String input)
{
byte[] bytes = System.Text.Encoding.UTF8.GetBytes(input);
System.Security.Cryptography.SHA256Managed sha256hashstring =
new System.Security.Cryptography.SHA256Managed();
byte[] hash = sha256hashstring.ComputeHash(bytes);
return Convert.ToBase64String(hash);
}
public void Login_click(object sender, EventArgs r)
{
String hashedpassword = GenerateSHA256Hash(txtpassword.Text);
string MyConString = ConfigurationManager.ConnectionStrings["connStr"].ConnectionString;
MySqlConnection con = new MySqlConnection(MyConString);
MySqlCommand cmd = new MySqlCommand("select * from authentication where agentlogin=@username and password=@word", con);
cmd.Parameters.AddWithValue("@username", txtusername.Text);
cmd.Parameters.AddWithValue("@word", hashedpassword);
MySqlDataAdapter sda = new MySqlDataAdapter(cmd);
DataTable dt = new DataTable();
sda.Fill(dt);
con.Open();
int i = cmd.ExecuteNonQuery();
con.Close();
if (dt.Rows.Count > 0)
{
Session["id"] = txtusername.Text;
Response.Redirect("calendar.aspx");
Session.RemoveAll();
}
else
{
lblmsg.Text = "Credential doesn't match!";
lblmsg.ForeColor = System.Drawing.Color.Red;
}
}
在用户表Username和Hash以及Salt中创建一列
用户注册
1)在您的注册表中输入用户输入的username或password。
2)使用以下方法为输入密码创建哈希和盐。
public class HashSalt
{
public string Hash { get; set; }
public string Salt { get; set; }
}
public static HashSalt GenerateSaltedHash(int size, string password)
{
var saltBytes = new byte[size];
var provider = new RNGCryptoServiceProvider();
provider.GetNonZeroBytes(saltBytes);
var salt = Convert.ToBase64String(saltBytes);
var rfc2898DeriveBytes = new Rfc2898DeriveBytes(password, saltBytes, 10000);
var hashPassword = Convert.ToBase64String(rfc2898DeriveBytes.GetBytes(256));
HashSalt hashSalt = new HashSalt { Hash = hashPassword, Salt = salt };
return hashSalt;
}
Rfc2898DeriveBytes类用于使用RFC2898规范生成哈希,该规范使用称为PBKDF2(基于密码的密钥派生函数#2)的方法,并且目前由IETF(因特网工程任务组)推荐用于新应用程序。
3)然后将这个Hash和Salt与用户记录存储在数据库中。
public void Submit1_click(object sender, EventArgs r)
{
//Your code here
HashSalt hashSalt = GenerateSaltedHash(password1.Text);
//Your code here
cmd.Parameters.AddWithValue("@hash", hashSalt.Hash);
cmd.Parameters.AddWithValue("@salt", hashSalt.Salt);
//You code here
}
用户登录
1)从您的登录表单中输入用户输入的username或password。
2)在Login_click中,通过数据库的用户名获取用户。
3)将存储的Hash和Salt传递给下面的函数。
public static bool VerifyPassword(string enteredPassword, string storedHash, string storedSalt)
{
var saltBytes = Convert.FromBase64String(storedSalt);
var rfc2898DeriveBytes = new Rfc2898DeriveBytes(enteredPassword, saltBytes, 10000);
return Convert.ToBase64String(rfc2898DeriveBytes.GetBytes(256)) == storedHash;
}
4)然后通过验证他/她的密码登录您的用户。
public void Login_click(object sender, EventArgs r)
{
//You code here
User user = GetUserByUsername(txtUsername.Text);
bool isPasswordMatched = VerifyPassword(txtpassword.Text, user.Hash, user.Salt);
if (isPasswordMatched)
{
//Login Successfull
}
else
{
//Login Failed
}
//Your code here
}
在将盐添加到密码并对其进行散列之前,必须先存储盐。
因此,当有人尝试登录时,您将密码与存储的salt连接起来,然后您可以对其进行哈希并将其与基础中的现有哈希进行比较。
因此,您的用户表应至少包含以下3列:username,hashedpassword,salt
更长的解释:散列函数是确定性的但不可逆,因此当用户第一次创建密码时:
所以你有:hashedpassword = hashingfunction(密码+盐)
当您尝试登录时:
在散列密码旁边加盐并不会降低安全性:盐的目标是防止使用rainbowtable
如果有人闯入您的数据库,他可能会针对您的用户的电子邮件+密码,因为大多数人在很多不同的地方重复使用相同的密码和电子邮件。
现在由于哈希函数不可逆,攻击者唯一能做的就是尝试猜测密码并创建一个字典:
guessed_password => hash(guessed_password)
例如:
pet345 => 23FD7890F0F3FA3AE468F37CB900402A1F1977CF926F3452CA519056E16985AB
lola78 => 876B42DC10A0822CC52B894DC7517C784A542B43FB033B4A93635ADA67946B2E
lola79 => A7DCAF5195463FA367CDEA6F23688C1280EC98F4AF2B08BC3469D2496537D48D
lola80 => 8D8E1CF212F5DDC3CA1D510900382DF945625A9AE1584CE0D539B2C4D73717CB
如果hash(guessed_password)在你的数据库中,他知道这个(这些)用户的密码是guessed_password。
他可以生成一个包含数十亿guessed_passwords的词典,并且由于很多用户不使用真正强大的密码,因此他很可能会在他的词典中找到大量用户哈希值。因此,如果他为'lola80'和'lola79'生成哈希值,这些是他知道的2个用户的密码。
现在,如果您为输入的每个密码添加一个随机盐,对于每个盐,他必须生成一个完整的字典,因为他必须这样做:
guessed_password + salt = hash(guessed_password + salt)
对于使用salt'09ç@ p $'的用户A,他必须生成一个完整的字典,其中每个单词都以'09ç@ p $'结尾
现在如果他想猜测与'Yuè45gh'相关的用户B的密码,他必须生成另一个词典,其中每个单词都以'Yuè45gh'结尾
基本上,它会减慢通过your_number_of_users因子猜测用户密码的过程。
我想我可以使用相同的加密方法来取消它,但盐析不会返回相同的值。
你的意思是你通过盐析机制再次发送盐渍密码,并期望一个未加密的明确密码?这没有任何意义。
所以,你腌制了密码并将其保存在某个地方。你现在要做的是,当用户输入他的密码时,你将这个新密码加盐并获得一个盐渍密码。然后检查这个旧的旧的;如果匹配,那就是正确的密码。