<sup id="sjju3"><noscript id="sjju3"></noscript></sup>
    <big id="sjju3"></big>

  • <blockquote id="sjju3"></blockquote>
    <blockquote id="sjju3"></blockquote>

      <td id="sjju3"></td>

      <big id="sjju3"></big>
        <code id="sjju3"><strong id="sjju3"><dl id="sjju3"></dl></strong></code>
      1. 使用 Salt + Hash 将密码?#29992;?#21518;再存储进数据库

         更新时间:2012年12月21日 08:54:34   作者:   我要评论

        如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码

        (一) 为什么要用哈希函数来?#29992;?#23494;码

        如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码。

        image

        解决的办法是将密码?#29992;?#21518;再存储进数据库,比较常用的?#29992;?#26041;法是使用哈希函数(Hash Function)。哈希函数的具体定义,大家可以在网上或者相关书籍中查阅到,简单地说,它的特性如下:

        (1)原始密码经哈希函数计算后得到一个哈希值

        (2)改变原始密码,哈希函数计算出的哈希值?#19981;?#30456;应改变

        (3) 同样的密码,哈希值也是相同的

        (4) 哈希函数是单向、不可逆的。也就是说从哈希值,你无法推算出原始的密码是多少

        有了哈希函数,我们就可以将密码的哈希值存储进数据库。用户登录网站的时候,我们可以检验用户输入密码的哈希值是否与数据库中的哈希值相同。

        image

        由于哈希函数是不可逆的,即使有人打开了数据库,也无法看到用户的密码是多少。

        那么存储经过哈希函数?#29992;?#21518;的密码是否就是安全的了呢?我们先来看一下几种常见的?#24179;?#23494;码的方法。

        (二) 几种常见的?#24179;?#23494;码的方法

        最简单、常见的?#24179;?#26041;式当属字典?#24179;猓―ictionary Attack)和暴力?#24179;猓˙rute Force Attack)方式。这两种方法说白了就是猜密码。

        image

        字典?#24179;?#21644;暴力?#24179;?#37117;是效率比?#31995;?#30340;?#24179;?#26041;式。如果你知道了数据库中密码的哈希值,你就可以采用一种更高效的?#24179;?#26041;式,查表法(Lookup Tables)。还有一些方法,比如逆向查表法(Reverse Lookup Tables)、彩虹表(Rainbow Tables)等,都和查表法大同小异。现在我们来看一下查表法的原理。

        查表法不像字典?#24179;?#21644;暴力?#24179;?#37027;样猜密码,它首先将一些比较常用的密码的哈希值算好,然后建立一张表,?#27604;?#23494;码越多,这张表就越大。当你知道某个密码的哈希值?#20445;?#20320;只需要在你建立好的表中查找该哈希值,如果找到了,你就知道对应的密码了。

        image

        (三) 为密码加盐(Salt)

        从上面的查表法可以看出,即便是将原始密码?#29992;?#21518;的哈希值存储在数据库中依然是不够安全的。那么有什么好的办法来解决这个问题呢?#30475;?#26696;是加盐。

        盐(Salt)是什么?就是一个随机生成的字符串。我们将盐与原始密码连接(concat)在一起(放在前面或后面都可以),然后将concat后的字符串?#29992;堋?#37319;用这种方式?#29992;?#23494;码,查表法就不灵了(因为盐是随机生成的)。

        Picture1

        (四) 在.NET中的实现

        在.NET中,生成盐可以使用RNGCryptoServiceProvider类,?#27604;?#20063;可以使用GUID。哈希函数的算法我们可以使用SHA(Secure Hash Algorithm)家族算法,?#27604;?#21704;希函数的算法有很多,比如你也可以采用MD5。这里顺便提一下,美国政府以前广泛采用SHA-1算法,在2005年被我国山东大学的王小?#24179;?#25480;发现了安全漏洞,所以现在比较常用SHA-1加长的变种,比如SHA-256。在.NET中,可以使用SHA256Managed类。

        下面来看一段代码演示如何在.NET中实现给密码加盐?#29992;堋<用?#21518;的密码保存在MySQL数据库中。

        image

        下面的代码演示如何注册一个新帐户。盐的生成可以使用新Guid,也可以使用RNGCryptoServiceProvider 类。将byte[]转换为string,可以使用Base64String(?#20197;?#20197;前的博客中介绍过Base 64 Encoding 编码),也可以使用下面的ToHexString方法。

        复制代码 代码如下:

        protected void ButtonRegister_Click(object sender, EventArgs e)
        {
            string username = TextBoxUserName.Text;
            string password = TextBoxPassword.Text;
            // random salt
            string salt = Guid.NewGuid().ToString();

            // random salt
            // you can also use RNGCryptoServiceProvider class           
            //System.Security.Cryptography.RNGCryptoServiceProvider rng = new System.Security.Cryptography.RNGCryptoServiceProvider();
            //byte[] saltBytes = new byte[36];
            //rng.GetBytes(saltBytes);
            //string salt = Convert.ToBase64String(saltBytes);
            //string salt = ToHexString(saltBytes);

            byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt);           
            byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes);

            string hashString = Convert.ToBase64String(hashBytes);

            // you can also use ToHexString to convert byte[] to string
            //string hashString = ToHexString(hashBytes);

            var db = new TestEntities();
            usercredential newRecord = usercredential.Createusercredential(username, hashString, salt);
            db.usercredentials.AddObject(newRecord);
            db.SaveChanges();
        }

         

        string ToHexString(byte[] bytes)
        {
            var hex = new StringBuilder();
            foreach (byte b in bytes)
            {
                hex.AppendFormat("{0:x2}", b);
            }
            return hex.ToString();
        }



        下面的代码演示了如何检验登录用户的密码是否正确。首先检验用户名是否存在,如果存在,获得该用户的盐,然后用该盐和用户输入的密码来计算哈希值,并和数据库中的哈希值进行比较。
        复制代码 代码如下:

        protected void ButtonSignIn_Click(object sender, EventArgs e)
        {
        string username = TextBoxUserName.Text;
        string password = TextBoxPassword.Text;

        var db = new TestEntities();
        usercredential record = db.usercredentials.Where(x => string.Compare(x.UserName, username, true) == 0).FirstOrDefault();
        if (record == default(usercredential))
        {
        throw new ApplicationException("invalid user name and password");
        }

        string salt = record.Salt;
        byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt);
        byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes);
        string hashString = Convert.ToBase64String(hashBytes);

        if (hashString == record.PasswordHash)
        {
        // user login successfully
        }
        else
        {
        throw new ApplicationException("invalid user name and password");
        }
        }

        总结:单单使用哈希函数来为密码?#29992;?#26159;不够的,需要为密码加盐来提高安全性,盐的长度不能过短,并且盐的产生应该是随机的。

        相关文章

        最新评论

        2018白小姐一肖中特马
        <sup id="sjju3"><noscript id="sjju3"></noscript></sup>
        <big id="sjju3"></big>

      2. <blockquote id="sjju3"></blockquote>
        <blockquote id="sjju3"></blockquote>

          <td id="sjju3"></td>

          <big id="sjju3"></big>
            <code id="sjju3"><strong id="sjju3"><dl id="sjju3"></dl></strong></code>
          1. <sup id="sjju3"><noscript id="sjju3"></noscript></sup>
            <big id="sjju3"></big>

          2. <blockquote id="sjju3"></blockquote>
            <blockquote id="sjju3"></blockquote>

              <td id="sjju3"></td>

              <big id="sjju3"></big>
                <code id="sjju3"><strong id="sjju3"><dl id="sjju3"></dl></strong></code>
              1. 三肖中特公式规律 广西快三开奖走势 广西11选5开奖合法吗 求广东11选5技巧 免费公开肖中平特 玩彩票赚钱的口号 澳洲幸运8福彩中心 欢乐斗地主怎么下载不了 体育彩票走势图表 广西快3今天开奖结果 山西快乐10分中奖规则 大乐透复式比较器 福建36选7最新开奖 北京快乐8开奖結果 足彩胜负彩奖金比率