2

我正在编写自己的自定义成员资格提供程序,但正在使用成员资格提供程序自己的 EncodePassword 方法,如下所示:

internal string EncodePassword(string pass, int passwordFormat, string salt)

{
if (passwordFormat == 0) // MembershipPasswordFormat.Clear
    return pass;

byte[] bIn = Encoding.Unicode.GetBytes(pass);
byte[] bSalt = Convert.FromBase64String(salt);
byte[] bAll = new byte[bSalt.Length + bIn.Length];
byte[] bRet = null;

Buffer.BlockCopy(bSalt, 0, bAll, 0, bSalt.Length);
Buffer.BlockCopy(bIn, 0, bAll, bSalt.Length, bIn.Length);
if (passwordFormat == 1)
{ // MembershipPasswordFormat.Hashed
    HashAlgorithm s = HashAlgorithm.Create( Membership.HashAlgorithmType );
    bRet = s.ComputeHash(bAll);
} else
{
    bRet = EncryptPassword( bAll );
}

return Convert.ToBase64String(bRet);
}

经过几个小时的搜寻,我现在知道在 .NET 4 中使用的算法是 HMACSHA256。我知道我需要一个密钥才能使算法正常工作。

我的问题是它是怎么做到的?

我是否将密钥放在配置文件中并以某种方式引用它?

任何帮助,将不胜感激!

谢谢。

4

1 回答 1

2

不要使用 SHA!。去下载 BCrypt.Net。SHA 在散列方面太快了,这使得任何加密的东西都很容易被暴力破解。由于可配置的工作因素,BCrypt 速度较慢,因此虽然用户无法察觉,但当尝试每秒暴力破解 700m 个密钥时,您根本做不到。

一旦你有了 bcrypt,你需要做的就是散列:

private static readonly int BCRYPT_WORK_FACTOR = 10;
string hashedPassword = BCrypt.Net.BCrypt.HashPassword(account.HashedPassword, BCRYPT_WORK_FACTOR);

并检查密码:

bool matched = BCrypt.Net.BCrypt.Verify(password, match.HashedPassword))

我在这里写得更深入一点http://www.danharman.net/2011/06/25/encrypting-hashing-passwords-for-your-website/

于 2011-06-25T01:12:52.993 回答