我有一个网站,使用默认的asp.net安全性来验证用户和一个密码哈希和盐的表。是否可以将这些与hasibeenpwned.com数据库中的散列密码进行比较?
并不是的。
你不能通过直接点击数据库来做到这一点,因为你需要有明文字符串才能获得正确的哈希来执行查找。
但你可以采用不同的方式 - 通过使用the cracked corpora of the HIBP data from hashes.org破解现有的盐渍哈希。但是,在大多数情况下,这通常是不可取的。
您还可以将其设置为在您已经拥有明文的情况下进行检查 - 无论何时用户注册,登录和/或更改其密码等。顶级X知名密码的一般黑名单通常是好主意 - 但我建议不要使用整个5.12亿个密码作为新密码创建的黑名单,而无需在如何创建良好密码方面提供大量额外的UX指导(使用Diceware风格的随机生成的密码或随机生成的密码存储在密码中经理等)