C#使⽤Salt+Hash来为密码加密
(⼀)为什么要⽤哈希函数来加密密码
如果你需要保存密码(⽐如⽹站⽤户的密码),你要考虑如何保护这些密码数据,象下⾯那样直接将密码写⼊数据库中是极不安全的,因为任何可以打开数据库的⼈,都将可以直接看到这些密码。
解决的办法是将密码加密后再存储进数据库,⽐较常⽤的加密⽅法是使⽤哈希函数(Hash Function)。哈希函数的具体定义,⼤家可以在⽹上或者相关书籍中查阅到,简单地说,它的特性如下:
(1)原始密码经哈希函数计算后得到⼀个哈希值
(2)改变原始密码,哈希函数计算出的哈希值也会相应改变
(3)同样的密码,哈希值也是相同的
(4)哈希函数是单向、不可逆的。也就是说从哈希值,你⽆法推算出原始的密码是多少
有了哈希函数,我们就可以将密码的哈希值存储进数据库。⽤户登录⽹站的时候,我们可以检验⽤户输⼊密码的哈希值是否与数据库中的哈希值相同。
密码字符串是什么
由于哈希函数是不可逆的,即使有⼈打开了数据库,也⽆法看到⽤户的密码是多少。
那么存储经过哈希函数加密后的密码是否就是安全的了呢?我们先来看⼀下⼏种常见的破解密码的⽅法。
(⼆)⼏种常见的破解密码的⽅法
最简单、常见的破解⽅式当属字典破解(Dictionary Attack)和暴⼒破解(Brute Force Attack)⽅式。
这两种⽅法说⽩了就是猜密码。
字典破解和暴⼒破解都是效率⽐较低的破解⽅式。如果你知道了数据库中密码的哈希值,你就可以采⽤⼀种更⾼效的破解⽅式,查表法(Lookup Tables)。还有⼀些⽅法,⽐如逆向查表法(Reverse Lookup Tables)、彩虹表(Rainbow Tables)等,都和查表法⼤同⼩异。现在我们来看⼀下查表法的原理。
查表法不像字典破解和暴⼒破解那样猜密码,它⾸先将⼀些⽐较常⽤的密码的哈希值算好,然后建⽴⼀张表,当然密码越多,这张表就越⼤。当你知道某个密码的哈希值时,你只需要在你建⽴好的表中查该哈希值,如果到了,你就知道对应的密码了。
(三)为密码加盐(Salt)
从上⾯的查表法可以看出,即便是将原始密码加密后的哈希值存储在数据库中依然是不够安全的。那么有什么好的办法来解决这个问题呢?答案是加盐。
盐(Salt)是什么?就是⼀个随机⽣成的字符串。我们将盐与原始密码连接(concat)在⼀起(放在前⾯或后⾯都可以),然后将concat后的字符串加密。采⽤这种⽅式加密密码,查表法就不灵了(因为盐是随机⽣成的)。
(四)在.NET中的实现
在.NET中,⽣成盐可以使⽤RNGCryptoServiceProvider类,当然也可以使⽤GUID。哈希函数的算法我们可以使⽤
SHA(Secure Hash Algorithm)家族算法,当然哈希函数的算法有很多,⽐如你也可以采⽤MD5。这⾥顺便提⼀下,美国政府以前⼴泛采⽤SHA-1算法,在2005年被我国⼭东⼤学的王⼩云教授发现了安全漏洞,所以现在⽐较常⽤SHA-1加长的变种,⽐如SHA-256。在.NET中,可以使⽤SHA256Managed类。
下⾯来看⼀段代码演⽰如何在.NET中实现给密码加盐加密。加密后的密码保存在MySQL数据库中。
下⾯的代码演⽰如何注册⼀个新帐户。盐的⽣成可以使⽤新Guid,也可以使⽤RNGCryptoServiceProvider 类。将byte[]转换为string,可以使⽤Base64String,也可以使⽤下⾯的ToHexString⽅法。
protected void ButtonRegister_Click(object sender, EventArgs e)
{
string username = TextBoxUserName.Text;
string password = TextBoxPassword.Text;
// random salt
string salt = Guid.NewGuid().ToString();
// random salt
// you can also use RNGCryptoServiceProvider class
//System.Security.Cryptography.RNGCryptoServiceProvider rng = new System.Security.Cryptography.
RNGCryptoServiceProvider();
//byte[] saltBytes = new byte[36];
//rng.GetBytes(saltBytes);
//string salt = Convert.ToBase64String(saltBytes);
//string salt = ToHexString(saltBytes);
byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt);
byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes);
string hashString = Convert.ToBase64String(hashBytes);
// you can also use ToHexString to convert byte[] to string
//string hashString = ToHexString(hashBytes);
var db = new TestEntities();
usercredential newRecord = usercredential.Createusercredential(username, hashString, salt);
db.usercredentials.AddObject(newRecord);
db.SaveChanges();
}
string ToHexString(byte[] bytes)
{
var hex = new StringBuilder();
foreach (byte b in bytes)
{
hex.AppendFormat("{0:x2}", b);
}
return hex.ToString();
}
下⾯的代码演⽰了如何检验登录⽤户的密码是否正确。⾸先检验⽤户名是否存在,如果存在,获得该⽤户的盐,然后⽤该盐和⽤户输⼊的密码来计算哈希值,并和数据库中的哈希值进⾏⽐较。
protected void ButtonSignIn_Click(object sender, EventArgs e)
{
string username = TextBoxUserName.Text;
string password = TextBoxPassword.Text;
var db = new TestEntities();
usercredential record = db.usercredentials.Where(x => string.Compare(x.UserName, username, true) == 0).FirstOrDefault();
if (record == default(usercredential))
{
throw new ApplicationException("invalid user name and password");
}
string salt = record.Salt;
byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt);
byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes);
string hashString = Convert.ToBase64String(hashBytes);
if (hashString == record.PasswordHash)
{
// user login successfully
}
else
{
throw new ApplicationException("invalid user name and password");
}
}
总结:单单使⽤哈希函数来为密码加密是不够的,需要为密码加盐来提⾼安全性,盐的长度不能过短,并且盐的产⽣应该是随机的。
以上就是本⽂的全部内容,希望本⽂的内容对⼤家的学习或者⼯作能带来⼀定的帮助,同时也希望多多⽀持!
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论