Saya ingin menyimpan hash kata sandi di telepon, tetapi saya tidak yakin bagaimana melakukannya. Saya hanya dapat menemukan metode enkripsi. Bagaimana seharusnya kata sandi di-hash dengan benar?
117
PEMBARUAN : JAWABAN INI SANGAT KELUAR . Silakan gunakan rekomendasi dari https://stackoverflow.com/a/10402129/251311 sebagai gantinya.
Anda bisa menggunakan
var md5 = new MD5CryptoServiceProvider();
var md5data = md5.ComputeHash(data);
atau
var sha1 = new SHA1CryptoServiceProvider();
var sha1data = sha1.ComputeHash(data);
Untuk mendapatkan data
array byte bisa Anda gunakan
var data = Encoding.ASCII.GetBytes(password);
dan untuk mendapatkan kembali string dari md5data
atausha1data
var hashedPassword = ASCIIEncoding.GetString(md5data);
using
pernyataan atau memanggilnyaClear()
setelah selesai menggunakan implementasi.md5
cukup baik untuk hampir semua jenis tugas. Kerentanannya juga mengacu pada situasi yang sangat spesifik dan hampir mengharuskan penyerang untuk mengetahui banyak tentang kriptografi.Sebagian besar jawaban lain di sini agak ketinggalan zaman dengan praktik terbaik saat ini. Seperti inilah aplikasi menggunakan PBKDF2 /
Rfc2898DeriveBytes
untuk menyimpan dan memverifikasi password. Kode berikut berada di kelas yang berdiri sendiri di posting ini: Contoh lain tentang cara menyimpan hash kata sandi asin . Dasar-dasarnya sangat mudah, jadi inilah uraiannya:LANGKAH 1 Buat nilai garam dengan PRNG kriptografi:
LANGKAH 2 Buat Rfc2898DeriveBytes dan dapatkan nilai hash:
LANGKAH 3 Gabungkan byte garam dan sandi untuk digunakan nanti:
LANGKAH 4 Ubah gabungan garam + hash menjadi string untuk disimpan
LANGKAH 5 Verifikasi kata sandi yang dimasukkan pengguna dengan kata sandi yang disimpan
Catatan: Bergantung pada persyaratan kinerja aplikasi spesifik Anda, nilainya
100000
dapat dikurangi. Nilai minimum harus sekitar10000
.sumber
Berdasarkan jawaban bagus csharptest.net , saya telah menulis Kelas untuk ini:
Pemakaian:
Contoh hash bisa jadi ini:
Seperti yang Anda lihat, saya juga telah memasukkan iterasi dalam hash untuk penggunaan yang mudah dan kemungkinan untuk meningkatkan ini, jika kita perlu meningkatkan.
Jika Anda tertarik dengan .net core, saya juga memiliki versi inti .net di Code Review .
sumber
V1
danV2
metode verifikasi mana yang Anda butuhkan.Saya menggunakan hash dan salt untuk enkripsi kata sandi saya (hash yang sama dengan yang digunakan oleh Asp.Net Membership):
sumber
sumber
Jawaban @ csharptest.net dan Christian Gollhardt sangat bagus, terima kasih banyak. Tetapi setelah menjalankan kode ini pada produksi dengan jutaan catatan, saya menemukan ada kebocoran memori. Kelas RNGCryptoServiceProvider dan Rfc2898DeriveBytes diturunkan dari IDisposable tetapi kami tidak membuangnya. Saya akan menulis solusi saya sebagai jawaban jika seseorang membutuhkan dengan versi yang dibuang.
Pemakaian:
sumber
Saya pikir menggunakan KeyDerivation.Pbkdf2 lebih baik daripada Rfc2898DeriveBytes.
Contoh dan penjelasan: Kata sandi hash di ASP.NET Core
Ini adalah contoh kode dari artikel. Dan itu adalah tingkat keamanan minimum. Untuk meningkatkannya, saya akan menggunakan parameter KeyDerivationPrf.HMACSHA1
KeyDerivationPrf.HMACSHA256 atau KeyDerivationPrf.HMACSHA512.
Jangan berkompromi dengan hashing kata sandi. Ada banyak metode yang terdengar secara matematis untuk mengoptimalkan peretasan hash kata sandi. Konsekuensinya bisa menjadi bencana. Setelah penjahat bisa mendapatkan tabel hash kata sandi pengguna Anda, akan relatif mudah baginya untuk memecahkan kata sandi karena algoritme lemah atau penerapannya salah. Dia punya banyak waktu (waktu x kekuatan komputer) untuk memecahkan kata sandi. Pencirian sandi harus kuat secara kriptografis untuk mengubah "banyak waktu" menjadi "waktu yang tidak wajar ".
Satu hal lagi untuk ditambahkan
Verifikasi hash membutuhkan waktu (dan itu bagus). Ketika pengguna memasukkan nama pengguna yang salah, tidak perlu waktu lama untuk memeriksa bahwa nama pengguna itu salah. Ketika nama pengguna benar, kami memulai verifikasi kata sandi - ini proses yang relatif lama.
Bagi seorang hacker akan sangat mudah untuk memahami apakah pengguna itu ada atau tidak.
Pastikan untuk tidak langsung memberikan jawaban jika nama pengguna salah.
Tak perlu dikatakan: jangan pernah memberikan jawaban apa yang salah. Hanya umum "Kredensial salah".
sumber