已解決430363個問題，去搜搜看，總會有你想問的

ASP.NET Identity的默認密碼哈希 - 它是如何工作的并且是否安全？

首頁猿問 ASP.NET...

ASP.NET Identity的默認密碼哈希 - 它是如何工作的并且是否安全？

C# 安全 .NET

波斯汪 2019-07-25 18:40:07

ASP.NET Identity的默認密碼哈希 - 它是如何工作的并且是否安全？我想知道在MVC 5和ASP.NET Identity Framework附帶的UserManager中默認實現的Password Hasher是否足夠安全？如果是這樣，如果你可以向我解釋它是如何工作的？IPasswordHasher界面如下所示：public interface IPasswordHasher{ string HashPassword(string password); PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword);}正如你所看到的，它不需要鹽，但在這個帖子中提到：“ Asp.net身份密碼哈希 ”，它確實在幕后加鹽。所以我想知道它是如何做到的？這鹽來自何處？我擔心的是鹽是靜態的，使它非常不安全。

查看完整描述

3 回答

森欄

TA貢獻1810條經驗獲得超5個贊

以下是默認實現的工作原理。它使用隨機鹽的密鑰派生函數來生成哈希。鹽被列為KDF產出的一部分。因此，每次“哈?！毕嗤拿艽a時，您將獲得不同的哈希值。為了驗證散列，輸出被拆分回salt和其余部分，并且KDF再次運行在具有指定salt的密碼上。如果結果與初始輸出的其余部分匹配，則驗證散列。

哈希：

public static string HashPassword(string password){
    byte[] salt;
    byte[] buffer2;
    if (password == null)
    {
        throw new ArgumentNullException("password");
    }
    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, 0x10, 0x3e8))
    {
        salt = bytes.Salt;
        buffer2 = bytes.GetBytes(0x20);
    }
    byte[] dst = new byte[0x31];
    Buffer.BlockCopy(salt, 0, dst, 1, 0x10);
    Buffer.BlockCopy(buffer2, 0, dst, 0x11, 0x20);
    return Convert.ToBase64String(dst);}

驗證：

public static bool VerifyHashedPassword(string hashedPassword, string password){
    byte[] buffer4;
    if (hashedPassword == null)
    {
        return false;
    }
    if (password == null)
    {
        throw new ArgumentNullException("password");
    }
    byte[] src = Convert.FromBase64String(hashedPassword);
    if ((src.Length != 0x31) || (src[0] != 0))
    {
        return false;
    }
    byte[] dst = new byte[0x10];
    Buffer.BlockCopy(src, 1, dst, 0, 0x10);
    byte[] buffer3 = new byte[0x20];
    Buffer.BlockCopy(src, 0x11, buffer3, 0, 0x20);
    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, dst, 0x3e8))
    {
        buffer4 = bytes.GetBytes(0x20);
    }
    return ByteArraysEqual(buffer3, buffer4);}

反對回復 2019-07-25

3 回答
0 關注
1295 瀏覽

關注

添加回答

舉報

0/150

提交

取消

亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

熱搜

最近搜索清空

ASP.NET Identity的默認密碼哈希 - 它是如何工作的并且是否安全？

ASP.NET Identity的默認密碼哈希 - 它是如何工作的并且是否安全？

3 回答

添加回答

ASP.NET Identity的默認密碼哈希 - 它是如何工作的并且是否安全？