欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

C#使用 Salt + Hash 來為密碼加密

 更新時間:2017年01月13日 09:26:09   作者:freeliver54  
本文主要介紹了幾種常見的破解密碼的方法,為密碼加鹽(Salt)以及在.NET中的實現(xiàn)等。具有一定的參考價值,下面跟著小編一起來看下吧

(一) 為什么要用哈希函數(shù)來加密密碼

如果你需要保存密碼(比如網(wǎng)站用戶的密碼),你要考慮如何保護這些密碼數(shù)據(jù),象下面那樣直接將密碼寫入數(shù)據(jù)庫中是極不安全的,因為任何可以打開數(shù)據(jù)庫的人,都將可以直接看到這些密碼。

解決的辦法是將密碼加密后再存儲進數(shù)據(jù)庫,比較常用的加密方法是使用哈希函數(shù)(Hash Function)。哈希函數(shù)的具體定義,大家可以在網(wǎng)上或者相關(guān)書籍中查閱到,簡單地說,它的特性如下:

(1)原始密碼經(jīng)哈希函數(shù)計算后得到一個哈希值

(2)改變原始密碼,哈希函數(shù)計算出的哈希值也會相應(yīng)改變

(3) 同樣的密碼,哈希值也是相同的

(4) 哈希函數(shù)是單向、不可逆的。也就是說從哈希值,你無法推算出原始的密碼是多少

有了哈希函數(shù),我們就可以將密碼的哈希值存儲進數(shù)據(jù)庫。用戶登錄網(wǎng)站的時候,我們可以檢驗用戶輸入密碼的哈希值是否與數(shù)據(jù)庫中的哈希值相同。

由于哈希函數(shù)是不可逆的,即使有人打開了數(shù)據(jù)庫,也無法看到用戶的密碼是多少。

那么存儲經(jīng)過哈希函數(shù)加密后的密碼是否就是安全的了呢?我們先來看一下幾種常見的破解密碼的方法。

(二) 幾種常見的破解密碼的方法

最簡單、常見的破解方式當(dāng)屬字典破解(Dictionary Attack)和暴力破解(Brute Force Attack)方式。這兩種方法說白了就是猜密碼。

字典破解和暴力破解都是效率比較低的破解方式。如果你知道了數(shù)據(jù)庫中密碼的哈希值,你就可以采用一種更高效的破解方式,查表法(Lookup Tables)。還有一些方法,比如逆向查表法(Reverse Lookup Tables)、彩虹表(Rainbow Tables)等,都和查表法大同小異?,F(xiàn)在我們來看一下查表法的原理。

查表法不像字典破解和暴力破解那樣猜密碼,它首先將一些比較常用的密碼的哈希值算好,然后建立一張表,當(dāng)然密碼越多,這張表就越大。當(dāng)你知道某個密碼的哈希值時,你只需要在你建立好的表中查找該哈希值,如果找到了,你就知道對應(yīng)的密碼了。

(三) 為密碼加鹽(Salt)

從上面的查表法可以看出,即便是將原始密碼加密后的哈希值存儲在數(shù)據(jù)庫中依然是不夠安全的。那么有什么好的辦法來解決這個問題呢?答案是加鹽。

鹽(Salt)是什么?就是一個隨機生成的字符串。我們將鹽與原始密碼連接(concat)在一起(放在前面或后面都可以),然后將concat后的字符串加密。采用這種方式加密密碼,查表法就不靈了(因為鹽是隨機生成的)。

(四) 在.NET中的實現(xiàn)

在.NET中,生成鹽可以使用RNGCryptoServiceProvider類,當(dāng)然也可以使用GUID。哈希函數(shù)的算法我們可以使用SHA(Secure Hash Algorithm)家族算法,當(dāng)然哈希函數(shù)的算法有很多,比如你也可以采用MD5。這里順便提一下,美國政府以前廣泛采用SHA-1算法,在2005年被我國山東大學(xué)的王小云教授發(fā)現(xiàn)了安全漏洞,所以現(xiàn)在比較常用SHA-1加長的變種,比如SHA-256。在.NET中,可以使用SHA256Managed類。

下面來看一段代碼演示如何在.NET中實現(xiàn)給密碼加鹽加密。加密后的密碼保存在MySQL數(shù)據(jù)庫中。

下面的代碼演示如何注冊一個新帳戶。鹽的生成可以使用新Guid,也可以使用RNGCryptoServiceProvider 類。將byte[]轉(zhuǎn)換為string,可以使用Base64String,也可以使用下面的ToHexString方法。

protected void ButtonRegister_Click(object sender, EventArgs e) 
{ 
 string username = TextBoxUserName.Text; 
 string password = TextBoxPassword.Text; 
 // random salt 
 string salt = Guid.NewGuid().ToString();
 // random salt 
 // you can also use RNGCryptoServiceProvider class  
 //System.Security.Cryptography.RNGCryptoServiceProvider rng = new System.Security.Cryptography.RNGCryptoServiceProvider(); 
 //byte[] saltBytes = new byte[36]; 
 //rng.GetBytes(saltBytes); 
 //string salt = Convert.ToBase64String(saltBytes); 
 //string salt = ToHexString(saltBytes); 
 byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt);  
 byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes);
 string hashString = Convert.ToBase64String(hashBytes);
 // you can also use ToHexString to convert byte[] to string 
 //string hashString = ToHexString(hashBytes); 
 var db = new TestEntities(); 
 usercredential newRecord = usercredential.Createusercredential(username, hashString, salt); 
 db.usercredentials.AddObject(newRecord); 
 db.SaveChanges(); 
}
string ToHexString(byte[] bytes) 
{ 
 var hex = new StringBuilder(); 
 foreach (byte b in bytes) 
 { 
 hex.AppendFormat("{0:x2}", b); 
 } 
 return hex.ToString(); 
}

下面的代碼演示了如何檢驗登錄用戶的密碼是否正確。首先檢驗用戶名是否存在,如果存在,獲得該用戶的鹽,然后用該鹽和用戶輸入的密碼來計算哈希值,并和數(shù)據(jù)庫中的哈希值進行比較。

protected void ButtonSignIn_Click(object sender, EventArgs e) 
{ 
 string username = TextBoxUserName.Text; 
 string password = TextBoxPassword.Text;
 var db = new TestEntities(); 
 usercredential record = db.usercredentials.Where(x => string.Compare(x.UserName, username, true) == 0).FirstOrDefault(); 
 if (record == default(usercredential)) 
 { 
 throw new ApplicationException("invalid user name and password"); 
 }
 string salt = record.Salt; 
 byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt); 
 byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes); 
 string hashString = Convert.ToBase64String(hashBytes);

 if (hashString == record.PasswordHash) 
 { 
 // user login successfully 
 } 
 else 
 { 
 throw new ApplicationException("invalid user name and password"); 
 } 
}

總結(jié):單單使用哈希函數(shù)來為密碼加密是不夠的,需要為密碼加鹽來提高安全性,鹽的長度不能過短,并且鹽的產(chǎn)生應(yīng)該是隨機的。

以上就是本文的全部內(nèi)容,希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作能帶來一定的幫助,同時也希望多多支持腳本之家!

相關(guān)文章

  • C# 實現(xiàn)SDL2進行視頻播放窗口截圖和字幕添加

    C# 實現(xiàn)SDL2進行視頻播放窗口截圖和字幕添加

    這篇文章主要介紹了C# 實現(xiàn)SDL2進行視頻播放窗口截圖和字幕添加,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2020-12-12
  • C# DES加密算法中向量的作用詳細(xì)解析

    C# DES加密算法中向量的作用詳細(xì)解析

    以下是對C#中DES加密算法中向量的作用進行了詳細(xì)的介紹,需要的朋友可以過來參考下
    2013-09-09
  • Unity使用LineRender斷筆寫字

    Unity使用LineRender斷筆寫字

    這篇文章主要為大家詳細(xì)介紹了Unity使用LineRender斷筆寫字效果,文中示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2019-07-07
  • Unity3D實現(xiàn)列表分頁效果

    Unity3D實現(xiàn)列表分頁效果

    這篇文章主要為大家詳細(xì)介紹了Unity3D實現(xiàn)列表分頁效果,文中示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2020-04-04
  • 淺談C#數(shù)組(一)

    淺談C#數(shù)組(一)

    本篇文章小編要得大家介紹的是C#數(shù)組,數(shù)組是一種數(shù)據(jù)結(jié)構(gòu),它可以包含同一個類型的多個元素,如果需要使用同一類型的多個對象,可以使用數(shù)組和集合,需要的朋友可以參考下面文章的具體內(nèi)容
    2021-09-09
  • 深入多線程之:深入生產(chǎn)者、消費者隊列分析

    深入多線程之:深入生產(chǎn)者、消費者隊列分析

    本篇文章是對生產(chǎn)者與消費者隊列進行了詳細(xì)的分析介紹,需要的朋友參考下
    2013-05-05
  • WCF實現(xiàn)的計算器功能實例

    WCF實現(xiàn)的計算器功能實例

    這篇文章主要介紹了WCF實現(xiàn)的計算器功能,結(jié)合具體實例形式較為詳細(xì)的分析了WCF實現(xiàn)計算器功能的具體步驟與相關(guān)操作技巧,需要的朋友可以參考下
    2017-06-06
  • C#從DataTable獲取數(shù)據(jù)的方法

    C#從DataTable獲取數(shù)據(jù)的方法

    這篇文章主要介紹了C#從DataTable獲取數(shù)據(jù)的方法,涉及C#操作DataTable的相關(guān)技巧,需要的朋友可以參考下
    2015-06-06
  • c#利用Session對象實現(xiàn)購物車的方法示例

    c#利用Session對象實現(xiàn)購物車的方法示例

    這篇文章主要介紹了c#利用Session對象實現(xiàn)購物車的方法示例,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2020-02-02
  • DataGridView控件常用屬性介紹

    DataGridView控件常用屬性介紹

    這篇文章介紹了DataGridView控件的常用屬性,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2022-02-02

最新評論