我正在为一家公司编写业务线软件，我们希望对用户进行身份验证，以便我们可以管理工作流程并进行一些审核。基本上，由于某些网络限制，我的雇主不希望我背负 Windows 身份验证（我真的不想进入它，但它混合了糟糕的网络设置和老板想知道是否有其他方法做它）

我正在使用 c#、wpf、MVVM、PRISM

我读过一些关于散列密码、加盐等的内容，我读得越多，我意识到我真的不应该写这个程序的安全部分，因为我基本上是合格的 faaaaaar。

Eric Lippert 对安全性有一个非常好的基本介绍，他在其中一开始就警告读者不要设计自己的安全系统，因为你知道的不够多。

我想知道，有什么替代品？

既然我不应该自己写，我想知道我应该从哪里得到它？

我是否聘请安全专家来编写它？

是否有我应该与之交互的第三方安全程序？

我是否将设计外包但自己实施？

谁是我应该关注的这个行业的大玩家？

（我在 IT Security Exchange 上创建了这个问题，但我想知道 SO 有什么要说的，因为它正在编程）

编辑

为了回答人们在那里提出的一些问题，我对我的IT 安全交换问题进行了一些调整。如果您想了解更多信息，请查看它。

我试图以某种安全性将我的密码保存到数据库中。使用播放框架执行此操作的最佳方法是什么？我是否在javascript中加密字符串？不会认为这是最好的方法吗？还是在保存到数据库时发送普通字符串然后加密？

我想创建一个 Windows 或 Web 应用程序来对用户隐藏密码。

实际上，我有 10 个带有登录名的第三方网站。我只希望每个网站的密码对所有用户都隐藏（加密），并且用户只能复制该密码。

我们可以以 gmail 网站为例。我有gmail的帐户。我想授予其他用户访问权限。我想给他我的用户名和加密密码。他只需复制该密码并将其粘贴到 gmail 密码文本框中的密码字段中。我想在我的整个网站上应用它。

有没有办法做到这一点？我已经通过文本框中的 passwordchar 属性在 Windows 应用程序中对此进行了测试。但是当我复制这个并粘贴到网站密码字段时，它无法验证并给出错误。我认为密码丢失了它的原始实体。怎么能这样。

Possible Duplicate:
Best way to store password in database

does anyone know a way to secure a password that the user is creating on the site which is then saved in a database table?

The passwords are currently stored as Plain text, I know..I Know!

Thanks

所以，我有一个网站，可以从数据库中读取/验证（和写入）密码哈希，并且我有一些东西可以为此制作 SHA-512 风格的密码哈希，看起来像：

该网站是基于 java 的，所以我为它写了一个 SHA-512 哈希。麻烦的是，有一堆运行的 perl cron 作业还需要偶尔验证数据库的密码哈希，并且由于这些作业在 Solaris 机器上运行，它的 crypt 不支持 $6$ 格式。

所以，当我这样做时：

我理智地回过神来：

然而，如果我这样做

我得到一个无益的

有没有办法在不使用 glibc 的机器上获取 Perl 中的 SHA-512 密码哈希？（这就是我在主要进行搜索时被告知的内容（“使用地穴”）。

我真的不想在 perl 中重新实现 SHA-512 密码哈希。

谢谢！

我正在开发一个系统（基于 PHP，但对此并不重要），它将用户密码保存在数据库中。但是，在安全性方面，我需要考虑如何保护密码并确保密码传输机制的完整性。

我选择保护数据库中用盐散列的密码，但在将密码从浏览器传输到服务器（将用于非安全连接）方面，我不确定如何检查它。

所以我的问题是，有没有人知道任何安全机制可以允许客户端发送他们的密码，然后可以将其与数据库（与盐一起使用）进行比较，而密码在除客户端浏览器内存之外的任何地方都是纯文本的？

给定：

$salt - 一个足够长的伪随机生成的字符串

$pepper - 一个足够强大的私钥，只有存储密码短语的数据库管理员知道

你会看到吗

$hash = bcrypt(hmac($userpassphrase,$pepper),$salt)

有意义地优于

$hash = bcrypt($userpassphrase,$salt)

考虑到管理/存储 $pepper 和 $salt 的额外负担？

我的假设是 hmac 并没有显着地增强产生的 $hash，并且存储 $pepper 的负担超过了任何假定的好处……但我很想听听有见地的意见。

我最近读了一篇关于密码散列的文章。

如何创建 MD5 或 SHA1 哈希使其无法解密？我的想法是，它必须通过某些 FORMULA 加密字符串（它总是为相同的字符串提供相同的哈希值；所以必须没有随机化），这就是为什么我们应该能够用相同的 FORMULA 解密它？或者人们不知道论坛？

我正在尝试将当前在 R 代码中硬编码的密码移动到磁盘上的“加密”/编码文件中。

我想以与 SAS PWENCODE 过程类似的方式进行操作（http://support.sas.com/documentation/cdl/en/proc/63079/HTML/default/viewer.htm#n0ii0upf9h4a67n1bcwcesmo4zms.htm，ODBC密码安全在 SAS 中）。

R中有类似的东西吗？对于需要定期运行的代码，您使用什么方法在 R 中存储密码，而无需以键入密码的形式进行人工干预？

编辑：忘了提：唯一和我相似的是 RCurl::base64() 。

我有一个需要登录的系统，但我为谁构建它是要求在登录期间传输密码非常安全（即使使用 SSL）。所以我使用摘要访问身份验证的变体来传输登录请求。我现在遇到的唯一问题是如何将密码存储在数据库中（最好是在安全的加盐散列中），以便它们可以与摘要请求一起使用，并且密码在任何时候都不是非散列格式，除了在客户端浏览器几秒钟。

那么，简而言之，我怎样才能安全地存储密码但允许摘要（与数据库的盐不同且不断变化的随机数）进行身份验证？