2

我有下面的代码来散列/存储/检索密码数据,但是我的第一个单元测试失败了。

我相信它是导致问题的编码,因为当调用 GetBytes 时它返回byte[38]byte[36]我认为它应该是 20。

当我将它存储在数据库中时,我必须转换为字符串。

有任何想法吗?谢谢

[Fact]
public void EncryptDecryptPasswordShouldMatch()
{
    string password = "password";
    string passwordKey = string.Empty;
    string passwordSalt = string.Empty;

    Helpers.CreatePasswordHash(password, out passwordSalt, out passwordKey);

    Assert.True(Helpers.PasswordsMatch(passwordSalt, passwordKey, password));

}


public static bool PasswordsMatch(string passwordSalt, string passwordKey, string password)
{
    byte[] salt = Encoding.UTF8.GetBytes(passwordSalt);
    byte[] key = Encoding.UTF8.GetBytes(passwordKey);

    using (var deriveBytes = new Rfc2898DeriveBytes(password, salt))
    {
        byte[] newKey = deriveBytes.GetBytes(20);  // derive a 20-byte key

        if (!newKey.SequenceEqual(key))
            return false;
    }

    return true;
}

public static void CreatePasswordHash(string password, out string passwordSalt, out string passwordKey)
{
    // specify that we want to randomly generate a 20-byte salt
    using (var deriveBytes = new Rfc2898DeriveBytes(password, 20))
    {
        byte[] salt = deriveBytes.Salt;
        byte[] key = deriveBytes.GetBytes(20);  // derive a 20-byte key

        passwordSalt = Encoding.UTF8.GetString(salt);
        passwordKey = Encoding.UTF8.GetString(key);
    }
}
4

3 回答 3

4

使用 Base64 将二进制值编码为字符串,它可以处理任意字节序列。UTF-8 用于在 unicode 文本和字节之间进行转换,并不是每个有效的字节序列都对 UTF-8 有效。使用 Utf-8 将密码(文本)转换为字节,但使用 Base64 进行盐和哈希。

Convert.ToBase64String并且Convert.FromBase64String应该做的伎俩。

一些附加说明:

  • 你的术语真的很奇怪,不要叫 hash key,叫它hash

  • 我会在你的CreatePasswordHash函数中连接散列和盐,所以调用者不必为有两个单独的值而烦恼。

    return Base64Encode(salt)+"$"+Base64Encode(hash)然后string.Split在验证功能中使用类似的东西。

  • 建议使用恒定时间比较来验证,但您的时序边信道似乎不太可能被实际利用。

  • 您的迭代次数非常少。我建议将其增加到 10000。
于 2013-05-02T15:54:07.580 回答
3

修改您的代码以使用以下Convert.FromBase64String方法:

byte[] salt = Convert.FromBase64String(passwordSalt);
byte[] key = Convert.FromBase64String(passwordKey);

修改您的代码以使用以下Convert.ToBase64String方法:

passwordSalt = Convert.ToBase64String(salt);
passwordKey = Convert.ToBase64String(key);
于 2013-05-02T15:56:34.933 回答
1

UTF8不是将任何随机字节转换为字符串的方法。它用于编码文本;不仅仅是任何字节都是有效的 UTF8 编码值。您可以使用Base64来回转换请注意,base64 编码的字符串将占用原始字节字符的约 4/3 倍。这是一个例子:

byte[] salt = deriveBytes.Salt;
byte[] key = deriveBytes.GetBytes(20);  // derive a 20-byte key

passwordSalt = Convert.ToBase64String(salt);
passwordKey = Convert.ToBase64String(key);

然后:

byte[] salt = Convert.FromBase64String(passwordSalt);
byte[] key = Convert.FromBase64String(passwordKey);
于 2013-05-02T15:58:25.893 回答