(一) 為什麼要用雜湊函式來加密密碼
如果你需要儲存密碼(比如**使用者的密碼),你要考慮如何保護這些密碼資料,象下面那樣直接將密碼寫入資料庫中是極不安全的,因為任何可以開啟資料庫的人,都將可以直接看到這些密碼。
解決的辦法是將密碼加密後再儲存進資料庫,比較常用的加密方法是使用雜湊函式(hash function)。雜湊函式的具體定義,大家可以在網上或者相關書籍中查閱到,簡單地說,它的特性如下:
(1)原始密碼經雜湊函式計算後得到乙個雜湊值
(2)改變原始密碼,雜湊函式計算出的雜湊值也會相應改變
(3) 同樣的密碼,雜湊值也是相同的
(4) 雜湊函式是單向、不可逆的。也就是說從雜湊值,你無法推算出原始的密碼是多少
有了雜湊函式,我們就可以將密碼的雜湊值儲存進資料庫。使用者登入**的時候,我們可以檢驗使用者輸入密碼的雜湊值是否與資料庫中的雜湊值相同。
由於雜湊函式是不可逆的,即使有人開啟了資料庫,也無法看到使用者的密碼是多少。
那麼儲存經過雜湊函式加密後的密碼是否就是安全的了呢?我們先來看一下幾種常見的破解密碼的方法。
(二) 幾種常見的破解密碼的方法
最簡單、常見的破解方式當屬字典破解(dictionary attack)和暴力破解(brute force attack)方式。這兩種方法說白了就是猜密碼。
字典破解和暴力破解都是效率比較低的破解方式。如果你知道了資料庫中密碼的雜湊值,你就可以採用一種更高效的破解方式,查表法(lookup tables)。還有一些方法,比如逆向查表法(reverse lookup tables)、彩虹表(rainbow tables)等,都和查表法大同小異。現在我們來看一下查表法的原理。
查表法不像字典破解和暴力破解那樣猜密碼,它首先將一些比較常用的密碼的雜湊值算好,然後建立一張表,當然密碼越多,這張表就越大。當你知道某個密碼的雜湊值時,你只需要在你建立好的表中查詢該雜湊值,如果找到了,你就知道對應的密碼了。
(三) 為密碼加鹽(salt)
從上面的查表法可以看出,即便是將原始密碼加密後的雜湊值儲存在資料庫中依然是不夠安全的。那麼有什麼好的辦法來解決這個問題呢?答案是加鹽。
鹽(salt)是什麼?就是乙個隨機生成的字串。vcqmphxuy我們將鹽與原始密碼連線(concat)在一起(放在前面或後面都可以),然後將concat後的字串加密。採用這種方式加密密碼,查表法就不靈了(因為鹽是隨機生成的)。
(四) 在.net中的實現
在.net中,生成鹽可以使用rngcryptoserviceprovider類,當然也可以使用guid。雜湊函式的演算法我們可以使用sha(secure hash algorithm)家族演算法,當然雜湊函式的演算法有很多,比如你也可以採用md5。這裡順便提一下,美國**以前廣泛採用sha-1演算法,在2023年被我國山東大學的王小雲教授發現了安全漏洞,所以現在比較常用sha-1加長的變種,比如sha-256。在.net中,可以使用sha256managed類。
下面來看一段**演示如何在.net中實現給密碼加鹽加密。加密後的密碼儲存在mysql資料庫中。
下面的**演示如何註冊乙個新帳戶。鹽的生成可以使用新guid,也可以使用rngcryptoserviceprovider 類。將byte轉換為string,可以使用base64string,也可以使用下面的tohexstring方法。
protected void buttonregister_click(object sender, eventargs e)
string tohexstring(byte bytes)
", b);
} return hex.tostring();
}下面的**演示了如何檢驗登入使用者的密碼是否正確。首先檢驗使用者名稱是否存在,如果存在,獲得該使用者的鹽,然後用該鹽和使用者輸入的密碼來計算雜湊值,並和資料庫中的雜湊值進行比較。
protected vwww.cppcns.comoid buttonsignin_click(object sender, eventargs e)
string salt = record.salt;
byte passwordandsaltbytes = system.text.encoding.utf8.getbytes(password + salt);
byte hashbytes = new system.security.cryptography.sha256managed().computehash(passwordandsaltbytes);
string hashstring = convert.tobase64string(hashbytes);
if (hashstring == record.passwordhash)
else
www.cppcns.com}
總結:單單使用雜湊函式來為密碼加密是不夠的,需要為密碼加鹽來提高安全性,鹽的長度不能過短,並且鹽的產生應該是隨機的。
本文標題: c#使用 salt + hash 來為密碼加密
本文位址: /ruanjian/csharp/176614.html
使用雜湊加鹽法來為密碼加密
如果你需要儲存密碼 比如 使用者的密碼 你要考慮如何保護這些密碼資料,象下面那樣直接將密碼寫入資料庫中是極不安全的,因為任何可以開啟資料庫的人,都將可以直接看到這些密碼。1 原始密碼經雜湊函式計算後得到乙個雜湊值 2 改變原始密碼,雜湊函式計算出的雜湊值也會相應改變 3 同樣的密碼,雜湊值也是相同的...
使用密碼記錄工具keepass來儲存密碼
在第一章,曾經給過您建議,密碼不要儲存在文件中,那樣不安全,如果密碼很多而且又很複雜,人的大腦是不可能很容易記住的,只能記錄下來,如果不能記在文件中那記在 呢?下面介紹給您一款記錄密碼的軟體,使用.net編寫的軟體,通過mono可以支援linux,mac等。而且還有android手機版本 keepa...
容器vector改寫為用C來實現
在將hm的c 改為c的過程中,hm中有stl庫中的容器型別list vector等。下面的 是將vector型別使用c來實現,具體的函式對應參考檔案 vector 中的原始碼實現。vector 實際上是乙個容量可以動態變化的陣列型別,保證了元素儲存空間的連續性,陣列的大小又可以動態的改變。使用siz...