服务器之家:专注于服务器技术及软件下载分享
分类导航

PHP教程|ASP.NET教程|Java教程|ASP教程|编程技术|正则表达式|C/C++|IOS|C#|Swift|Android|VB|R语言|JavaScript|易语言|vb.net|

服务器之家 - 编程语言 - C# - C#使用 Salt + Hash 来为密码加密

C#使用 Salt + Hash 来为密码加密

2021-12-18 15:29freeliver54 C#

本文主要介绍了几种常见的破解密码的方法,为密码加盐(Salt)以及在.NET中的实现等。具有一定的参考价值,下面跟着小编一起来看下吧

(一) 为什么要用哈希函数来加密密码

如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码。

C#使用 Salt + Hash 来为密码加密

解决的办法是将密码加密后再存储进数据库,比较常用的加密方法是使用哈希函数(hash function)。哈希函数的具体定义,大家可以在网上或者相关书籍中查阅到,简单地说,它的特性如下:

(1)原始密码经哈希函数计算后得到一个哈希值

(2)改变原始密码,哈希函数计算出的哈希值也会相应改变

(3) 同样的密码,哈希值也是相同的

(4) 哈希函数是单向、不可逆的。也就是说从哈希值,你无法推算出原始的密码是多少

有了哈希函数,我们就可以将密码的哈希值存储进数据库。用户登录网站的时候,我们可以检验用户输入密码的哈希值是否与数据库中的哈希值相同。

C#使用 Salt + Hash 来为密码加密

由于哈希函数是不可逆的,即使有人打开了数据库,也无法看到用户的密码是多少。

那么存储经过哈希函数加密后的密码是否就是安全的了呢?我们先来看一下几种常见的破解密码的方法。

(二) 几种常见的破解密码的方法

最简单、常见的破解方式当属字典破解(dictionary attack)和暴力破解(brute force attack)方式。这两种方法说白了就是猜密码。

C#使用 Salt + Hash 来为密码加密

字典破解和暴力破解都是效率比较低的破解方式。如果你知道了数据库中密码的哈希值,你就可以采用一种更高效的破解方式,查表法(lookup tables)。还有一些方法,比如逆向查表法(reverse lookup tables)、彩虹表(rainbow tables)等,都和查表法大同小异。现在我们来看一下查表法的原理。

查表法不像字典破解和暴力破解那样猜密码,它首先将一些比较常用的密码的哈希值算好,然后建立一张表,当然密码越多,这张表就越大。当你知道某个密码的哈希值时,你只需要在你建立好的表中查找该哈希值,如果找到了,你就知道对应的密码了。

C#使用 Salt + Hash 来为密码加密

(三) 为密码加盐(salt)

从上面的查表法可以看出,即便是将原始密码加密后的哈希值存储在数据库中依然是不够安全的。那么有什么好的办法来解决这个问题呢?答案是加盐。

盐(salt)是什么?就是一个随机生成的字符串。我们将盐与原始密码连接(concat)在一起(放在前面或后面都可以),然后将concat后的字符串加密。采用这种方式加密密码,查表法就不灵了(因为盐是随机生成的)。

C#使用 Salt + Hash 来为密码加密

(四) 在.net中的实现

在.net中,生成盐可以使用rngcryptoserviceprovider类,当然也可以使用guid。哈希函数的算法我们可以使用sha(secure hash algorithm)家族算法,当然哈希函数的算法有很多,比如你也可以采用md5。这里顺便提一下,美国政府以前广泛采用sha-1算法,在2005年被我国山东大学的王小云教授发现了安全漏洞,所以现在比较常用sha-1加长的变种,比如sha-256。在.net中,可以使用sha256managed类。

下面来看一段代码演示如何在.net中实现给密码加盐加密。加密后的密码保存在mysql数据库中。

C#使用 Salt + Hash 来为密码加密

下面的代码演示如何注册一个新帐户。盐的生成可以使用新guid,也可以使用rngcryptoserviceprovider 类。将byte[]转换为string,可以使用base64string,也可以使用下面的tohexstring方法。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
protected void buttonregister_click(object sender, eventargs e)
{
 string username = textboxusername.text;
 string password = textboxpassword.text;
 // random salt
 string salt = guid.newguid().tostring();
 // random salt
 // you can also use rngcryptoserviceprovider class 
 //system.security.cryptography.rngcryptoserviceprovider rng = new system.security.cryptography.rngcryptoserviceprovider();
 //byte[] saltbytes = new byte[36];
 //rng.getbytes(saltbytes);
 //string salt = convert.tobase64string(saltbytes);
 //string salt = tohexstring(saltbytes);
 byte[] passwordandsaltbytes = system.text.encoding.utf8.getbytes(password + salt); 
 byte[] hashbytes = new system.security.cryptography.sha256managed().computehash(passwordandsaltbytes);
 string hashstring = convert.tobase64string(hashbytes);
 // you can also use tohexstring to convert byte[] to string
 //string hashstring = tohexstring(hashbytes);
 var db = new testentities();
 usercredential newrecord = usercredential.createusercredential(username, hashstring, salt);
 db.usercredentials.addobject(newrecord);
 db.savechanges();
}
string tohexstring(byte[] bytes)
{
 var hex = new stringbuilder();
 foreach (byte b in bytes)
 {
 hex.appendformat("{0:x2}", b);
 }
 return hex.tostring();
}

下面的代码演示了如何检验登录用户的密码是否正确。首先检验用户名是否存在,如果存在,获得该用户的盐,然后用该盐和用户输入的密码来计算哈希值,并和数据库中的哈希值进行比较。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
protected void buttonsignin_click(object sender, eventargs e)
{
 string username = textboxusername.text;
 string password = textboxpassword.text;
 var db = new testentities();
 usercredential record = db.usercredentials.where(x => string.compare(x.username, username, true) == 0).firstordefault();
 if (record == default(usercredential))
 {
 throw new applicationexception("invalid user name and password");
 }
 string salt = record.salt;
 byte[] passwordandsaltbytes = system.text.encoding.utf8.getbytes(password + salt);
 byte[] hashbytes = new system.security.cryptography.sha256managed().computehash(passwordandsaltbytes);
 string hashstring = convert.tobase64string(hashbytes);
 
 if (hashstring == record.passwordhash)
 {
 // user login successfully
 }
 else
 {
 throw new applicationexception("invalid user name and password");
 }
}

总结:单单使用哈希函数来为密码加密是不够的,需要为密码加盐来提高安全性,盐的长度不能过短,并且盐的产生应该是随机的。

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持服务器之家!

原文链接:http://www.cnblogs.com/freeliver54/p/3623299.html#undefined

延伸 · 阅读

精彩推荐
  • C#利用C#实现网络爬虫

    利用C#实现网络爬虫

    这篇文章主要介绍了利用C#实现网络爬虫,完整的介绍了C#实现网络爬虫详细过程,感兴趣的小伙伴们可以参考一下...

    C#教程网11852021-11-16
  • C#C#微信公众号与订阅号接口开发示例代码

    C#微信公众号与订阅号接口开发示例代码

    这篇文章主要介绍了C#微信公众号与订阅号接口开发示例代码,结合实例形式简单分析了C#针对微信接口的调用与处理技巧,需要的朋友可以参考下...

    smartsmile20127762021-11-25
  • C#SQLite在C#中的安装与操作技巧

    SQLite在C#中的安装与操作技巧

    SQLite,是一款轻型的数据库,用于本地的数据储存。其优点有很多,下面通过本文给大家介绍SQLite在C#中的安装与操作技巧,感兴趣的的朋友参考下吧...

    蓝曈魅11162022-01-20
  • C#三十分钟快速掌握C# 6.0知识点

    三十分钟快速掌握C# 6.0知识点

    这篇文章主要介绍了C# 6.0的相关知识点,文中介绍的非常详细,通过这篇文字可以让大家在三十分钟内快速的掌握C# 6.0,需要的朋友可以参考借鉴,下面来...

    雨夜潇湘8272021-12-28
  • C#VS2012 程序打包部署图文详解

    VS2012 程序打包部署图文详解

    VS2012虽然没有集成打包工具,但它为我们提供了下载的端口,需要我们手动安装一个插件InstallShield。网上有很多第三方的打包工具,但为什么偏要使用微软...

    张信秀7712021-12-15
  • C#C#设计模式之Strategy策略模式解决007大破密码危机问题示例

    C#设计模式之Strategy策略模式解决007大破密码危机问题示例

    这篇文章主要介绍了C#设计模式之Strategy策略模式解决007大破密码危机问题,简单描述了策略模式的定义并结合加密解密算法实例分析了C#策略模式的具体使用...

    GhostRider10972022-01-21
  • C#如何使用C#将Tensorflow训练的.pb文件用在生产环境详解

    如何使用C#将Tensorflow训练的.pb文件用在生产环境详解

    这篇文章主要给大家介绍了关于如何使用C#将Tensorflow训练的.pb文件用在生产环境的相关资料,文中通过示例代码介绍的非常详细,需要的朋友可以参考借鉴...

    bbird201811792022-03-05
  • C#深入理解C#的数组

    深入理解C#的数组

    本篇文章主要介绍了C#的数组,数组是一种数据结构,详细的介绍了数组的声明和访问等,有兴趣的可以了解一下。...

    佳园9492021-12-10