如何正确检查密码散列ASP.NET核心
密码散列是一种将密码转换为不可逆字符串的安全技术。在ASP.NET核心中,可以使用以下步骤正确检查密码散列:
- 导入所需的命名空间:在使用密码散列之前,首先需要在代码文件的顶部导入以下命名空间:
using System;
using Microsoft.AspNetCore.Cryptography.KeyDerivation;- 创建密码散列:使用
KeyDerivation.Pbkdf2方法可以创建密码散列,该方法采用以下参数:
password:用户提供的密码。salt:一个随机生成的字节数组,用于增加密码散列的强度。prf:伪随机函数(Pseudorandom Function)的算法,默认为HMACSHA1。iterationCount:迭代次数,增加密码散列的计算复杂度。numBytesRequested:生成的密码散列的字节数。
下面是创建密码散列的示例代码:
// 生成盐值
byte[] salt = new byte[128 / 8];
using (var rng = RandomNumberGenerator.Create())
{
rng.GetBytes(salt);
}
// 创建密码散列
string password = "123456";
string hash = Convert.ToBase64String(KeyDerivation.Pbkdf2(
password: password,
salt: salt,
prf: KeyDerivationPrf.HMACSHA512,
iterationCount: 10000,
numBytesRequested: 256 / 8));- 验证密码散列:在用户登录时,需要验证输入的密码与数据库中保存的密码散列是否匹配。可以使用以下步骤进行验证:
- 从数据库中获取保存的密码散列和盐值。
- 使用相同的参数和保存的盐值创建新的密码散列。
- 将新创建的密码散列与数据库中保存的密码散列进行比较。
下面是验证密码散列的示例代码:
// 从数据库中获取保存的密码散列和盐值
string savedHash = "保存的密码散列";
byte[] savedSalt = Convert.FromBase64String("保存的盐值");
// 创建新的密码散列
string inputPassword = "用户输入的密码";
string newHash = Convert.ToBase64String(KeyDerivation.Pbkdf2(
password: inputPassword,
salt: savedSalt,
prf: KeyDerivationPrf.HMACSHA512,
iterationCount: 10000,
numBytesRequested: 256 / 8));
// 比较新密码散列和保存的密码散列
bool passwordMatch = newHash.Equals(savedHash);这样,您可以正确检查密码散列并验证用户输入的密码是否与保存的密码匹配。
对于ASP.NET核心的密码散列,腾讯云提供了云安全服务(COS)来确保密码的安全性。您可以使用腾讯云的云安全服务来保护用户密码,并防止密码泄露和暴力破解。详情请参考腾讯云云安全服务的官方文档:腾讯云云安全服务。
相关·内容
我们有一个现有的带有微软标识表的SQL数据库,最初是由ASP.NET核心应用程序生成的。
我们也有一个ASP.NET 4应用程序,它也使用微软的身份。
我们希望ASP.NET 4应用程序能够使用与原始.NET核心应用相同的数据库来验证登录。
然而,当我们试图验证密码时,它们并不匹配。
我只是猜测.NET核心应用程序生成的密码哈希不能被ASP.NET 4应用程序验证,但我不知道从哪里开始。:)
在.NET核心应用程序中没有自定义密码散列,而且我很难找到任何可能影响哈希的配置?
任何帮助或指针都是非常感谢的!
编辑:,这似乎是由标识V2/V3中的不同哈希算法造成的。不过,不知道如何在V3 4应用程
浏览 5提问于2016-07-06得票数 8
回答已采纳
1回答
我正在将Rails应用程序迁移到Laravel,现在所缺少的就是能够在Laravel中使用Rails中的旧密码数据。
我计划将旧信息保存在一个新的单独列中,当用户登录时,将密码与我从旧Rails数据库中获得的信息进行比较,如果正确,则使用Laravel散列方法保存密码。
我想知道的是,我如何使用PHP检查用户提交的密码是否为旧Rails应用程序中的正确密码?
浏览 0提问于2018-04-11得票数 0
3回答
访问哈希密码
、、、、
我将密码与用户登录一起散列,并将其作为VARBINARY 20字节长保存在数据库中。
现在,我正在尝试在asp.net中建立登录页面。如何从数据库获取密码值,并与用户提供的密码值进行比较?我使用SqlDataReader读取数据库。
致以敬意,
Bartosz
浏览 3提问于2012-09-13得票数 1
回答已采纳
我使用asp.net窗体身份验证来处理与数据库的明文密码之间的散列/加盐。这个项目被设置为使用SHA-1散列作为算法,但我正在考虑切换到像BCrypt或PBKDF2这样的东西,并想知道人们通常如何进行这样的转换。
不知何故,我必须处理数据库中使用SHA-1散列的当前密码,然后新密码将被其他东西散列。我可以在数据库中存储一些内容,让我知道它是哪一个,然后对每个人强制执行pw重置,但我不知道这样做有多容易,因为我不能修改为我做这件事的表单身份验证码。而且,对于两个不同的散列,db中的加密口令字段可以是两个不同的列类型(对于新算法,可能需要更大的列)。
浏览 1提问于2011-12-06得票数 1
回答已采纳
1回答
我对Asp.net mvc完全是个新手。我正在尝试在我的Asp.net mvc应用程序上实现基于令牌的身份验证。我已经根据成功地实现了它,其中客户端生成的令牌与每个http请求一起发送。在服务器端,我处理这个令牌,并获取其中的数据,以便在服务器端生成一个令牌进行比较。其中,我的令牌包含数据用户名、密码、ip、用户代理和时间戳。在服务器端,从客户令牌中获取用户名,从数据库中检索密码,在服务器端生成令牌。现在的问题是,我的应用程序已经更改为使用BCrypt.Net.BCrypt.HashPassword在数据库中存储加密的密码。现在问题是使用这个BCrypt应用程序接口,我无法解密散列密码来获得原
浏览 0提问于2016-01-12得票数 1
我目前正在将一个CakePhp应用迁移到ASP.NET上,这一点阻碍了我,因为我无法获得正确的散列方法来获得正确的密码,这样用户就可以从ASP.NET应用登录了。
我在config/core.php文件中设置了salt值。
我在谷歌上搜索,试图确定在哪里可以找到使用的哈希算法,但无法找到正确的查询或没有结果。
下面是到目前为止我用来散列密码的C#方法。
public static string ToHash(this string password, string salt)
{
if (string.IsNullOrEmpty(password))
return "
浏览 1提问于2012-11-30得票数 1
我使用asp.net标识来在asp.net MVC项目中注册用户,它运行得很好。我创建了新的.net核心3.1API项目,并使用检查用户名和密码来生成令牌。
问题是.net核心项目重新散列密码,而我无法从旧的asp.net MVC项目登录。
这是我的密码:
var user = _userManager.Users.FirstOrDefault(e => e.UserName == UserName);
bool result = await _userManager.CheckPasswordAsync(user, password);
浏览 4提问于2021-02-16得票数 1
回答已采纳
我有这个asp.net项目,我需要散列密码(最好是用盐),并将其保存在sql数据库中,然后对其进行解散列,以便与登录密码或类似的东西进行比较。问题是,我不确定以最安全的方式做这件事的最好方法是什么,我如何用C#编写代码?
浏览 4提问于2014-06-12得票数 0
回答已采纳
1回答
法线字符串
Passw0rd
通过MVC项目哈希
4mLjm+Nu1e5MUMsW03dwMw2vm80=
我认为旧的项目正在使用MVC4。我正在尝试从ASP.NET核心3.1中破解密码。两个项目指向同一个数据库,因此我希望确保asp.net核心3.1Passher生成与上面的散列密码相同的密码。
有没有办法使这个哈希密码从asp.net核心3.1?用符号学?
浏览 7提问于2020-05-05得票数 0
回答已采纳
我有一个遗留应用程序,它使用带有ASP.NET后端的SQL成员提供程序。数据库中的密码设置为clear。我想对这些密码进行加密,同时保留各个密码。我该如何通过编程来实现这一点呢?
我知道,为了让ASP.NET识别更改,我需要更改数据库密码格式、密码salt和密码本身。我还需要更改ASP.NET配置中的密码格式,以使用加密的密码格式。
基本上,我需要生成一个salt,获取密码,对密码应用加密,但我对如何真正加密密码有点迷惑。
浏览 3提问于2010-07-19得票数 3
回答已采纳
如何从PasswordHash列中检索Asp.Net Identity System中的原始密码?
浏览 0提问于2015-01-08得票数 1
我需要将一些敏感数据从Oracle服务器传输到SQL server,以便在我的ASP.NET网站上使用。让我们说一下它的密码。我们的安全人员说,这些密码需要在每一步都得到保护。我的网站需要能够比较用户输入这些密码。这些密码必须在夜间从Oracle服务器传输到SQL server,并且只能在白天在SQL Server上使用。
我能想到的最好的解决方案是,我们需要对Oracle上的密码进行散列,并将散列传递给SQL Server (假设两者之间的连接是安全的,因为这不是我的工作:P )。然后,我的ASP.NET web应用程序需要能够对用户输入实现完全相同的散列,以便我们可以将输入散列与数据库散列
浏览 0提问于2012-02-02得票数 1
回答已采纳
在asp.net核心PasswordHasher类型中,有关于VerifyHashedPassword方法的注释
/// <remarks>Implementations of this method should be time consistent.</remarks>
然后,为了比较它所使用的哈希,它使用的代码是故意没有优化和编写的,不做循环中的早期退出。
// Compares two byte arrays for equality. The method is specifically written so that the loop is not opt
浏览 0提问于2019-05-09得票数 31
我正在使用默认的ASP.NET提供程序和默认的web.config设置实现SQL成员资格。
我注意到密码是散列的。但我不知道asp.net是如何散列我的密码的,所以我不确定黑客是否有可能解密它?
如果asp.net使用相同的规则来散列密码,这是众所周知的。黑客可以轻易地破解它。
例如。如果asp.net使用MD5(123456),其结果是"E10ADC3949BA59ABBE56E057F20F883E",则黑客可能有一个MD5字典来查找此信息。
我的设置是:
<add name="AspNetSqlMembershipProvider" type=
浏览 0提问于2012-07-27得票数 4
回答已采纳
我的公司计划将我们的应用程序从.NET框架升级到.NET核心,作为其中的一部分,从ASP.NET成员升级到ASP.NET核心身份服务器。我在这个上找到了一篇有用的文章。
然而,有一个有着巨大影响的子注:
完成此脚本后,先前创建的ASP.NET核心标识应用程序由成员用户填充。用户需要在登录前更改他们的密码。
作为迁移的一部分,我们不能要求60万用户更改他们的密码。但是,成员密码是单向散列的,所以我们不能检索它们然后迁移它们。因此,我想知道我们将如何使用新的Identity Server方法来维护现有用户的密码。
浏览 0提问于2018-12-06得票数 3
回答已采纳
1回答
我在这里发了个问题..。
用存储过程保护密码散列?
...where我问过拒绝网站的数据库用户CRUD访问存储密码散列的表,除非通过只检查相等性和不返回散列的存储过程。这似乎使得不可能通过SQL注入转储散列。
但是,发布我接受的答案的用户提到了一个“专用密码验证服务器”。我试着找到更多关于这件事的信息,但我不能.
ASP.NET的专用密码验证服务器解决方案是什么?哪些公司使用它们?有人能告诉我他们是如何工作的吗?
浏览 0提问于2013-05-15得票数 1
回答已采纳
3回答
我现在使用的是phpbb 3.0.8。它有3000个用户和大约6万个帖子。我把论坛改成了一个不同的论坛,用经典的ASP写的(我知道人们会反对这样做,但我有很好的理由)。
我的网站是用ASP.net写的。传统的ASP论坛有一个API来连接它。这一切我都设置好了,它运行得很好。我已经写了我自己的登录表单。
我想复制所有的用户帐户。当前论坛有以下表格:
Username | Password | Hash | Salt
我已经覆盖了经典的ASP散列技术,现在使用ASP.net Security.SHA1散列。密码存储为SHA1(rawpassword + salt)。
我的计划是在当前字段旁边
浏览 2提问于2011-03-21得票数 7
回答已采纳
我有一个带有用户I和问答的ASP.net页面
我需要验证用户is,答案是否正确
我不需要启用enablepasswordretrival
我的密码是散列的
怎么做?
浏览 4提问于2008-11-06得票数 0
回答已采纳
1回答
我需要同步其中的三个,但我已经有18k的Asp.Net成员。(离线同步)那么我如何将Wordpress和Drupal的默认“密码散列”转换为Asp.Net成员(SHA1 with Salt)?
浏览 3提问于2011-07-19得票数 1
1回答
DotNet核中的密码匹配
、、、、
我在.Net Core 5.做项目
我将用户使用的所有最近的passwords (hashed value of course)存储在一个详细信息表中(主详细信息格式)。我正在存储这些密码,以防止用户使用他/她已经使用过的旧密码。
现在我如何比较一个纯文本密码,那个用户刚刚提交了与数据库中保存的散列密码。
在NodeJS中,我们通常使用Becrypt包,并使用compare方法来比较明文和散列。
在.Net核心中是否有可用的方法,我可以使用类似Compare函数来检查输入的密码是否已经存储在数据库中。
浏览 3提问于2022-10-19得票数 0
我正在将用户从传统用户存储迁移到我的ASP.NET 5.0 web应用程序中的ASP.NET Identity 2.0。我有一种验证遗留散列的方法,但我想在登录时将它们升级为ASP.NET Identity 2.0散列。
我已经创建了一个定制的IPasswordHasher,它能够检测和验证遗留散列,并在适当的时候返回PasswordVerificationResult.SuccessRehashNeeded。(如果它检测到散列不是传统散列,它将直接通过内置的ASP.NET身份散列验证。)
然而,返回PasswordVerificationResult.SuccessRehashNeeded似
浏览 0提问于2017-05-20得票数 8
4回答
我使用asp.net MVC 4默认的成员系统,并且客户端需要发送一个签名包括他的散列密码,以进行身份验证。
我需要通过服务器散列密码,就像散列密码一样。
private static bool IsAuthenticated(string hashedPassword, string message, string signature)
{
if (string.IsNullOrEmpty(hashedPassword))
return false;
var verifiedHash = ComputeHash(has
浏览 0提问于2012-12-26得票数 4
1回答
散列有什么意义?
、、、
哈希使用的一个典型例子是存储密码或敏感数据,因为这种加密形式是不可逆转的,但是如果不能解密,为什么要存储它呢?唯一可能的使用(据我有限的知识)是让用户输入密码,有一个程序散列,然后检查用户输入哈希是否与所述用户存储的哈希相同。这是一个(或唯一的)正确的情况吗?我在这里错过了什么?如果不是这样,那么如何检查密码的正确性,为什么不直接删除数据而不是单向加密呢?
浏览 3提问于2021-11-08得票数 0
回答已采纳
1回答
我正在使用asp.net核心剃须刀发动机。我有一个密码的散列,该密码保存在我的数据库中。如何与用户输入密码时进行比较。
下面是我对密码进行散列的方法。
[HttpPost]
[Route("")]
public IActionResult Register(Home model)
{
if(!ModelState.IsValid)
{
return View("Index", model);
}
浏览 1提问于2017-01-02得票数 1
1回答
我在ASP.NET MVC项目中使用了BCrypt算法,如下所述:
由于我使用的是N层架构,需要在数据访问层创建方法,从数据库返回散列密码。在这一点上,我感到不舒服。
从数据库返回哈希密码好吗?我想从数据库端做这件事,但为了检查密码,我需要调用以下方法,为此,我需要有哈希密码:
BCrypt.CheckPassword(myPassword,myHash);
还有没有别的办法呢?实现它的最佳方式是什么?
浏览 1提问于2014-07-18得票数 0
我的公司聘请了一位网络安全专家。他查看了我们的登录页面,并说密码最好是散列并发送到服务器。我告诉他我们要买SSL,但他坚持认为即使使用SSL,最好不要向服务器发送干净的文本作为密码。他还说,他可以在10分钟内破解SSL,但有了哈希密码,黑客又多了一步,可以破解我们的网站。
因此,我将在我的程序中使用ASP.NET Identity 2,并将使用sha1在用户浏览器中散列密码。但是我不知道如何将这个散列密码传递给PasswordSignInAsync方法。
有人能帮我吗?
浏览 7提问于2018-05-23得票数 0
ASP.net有一个类,用于散列和验证密码。它似乎在动态生成盐分,并将其存储为密码哈希的一部分。
我的问题是,随着计算机变得更强大,迭代次数需要增加,以帮助防止暴力攻击,您如何增加现有密码的迭代量?
迭代的次数被硬编码到助手中。将其更改为更大的密码将增加新密码的迭代次数,但在验证所有密码时也会单方面增加迭代次数。这不会破坏旧密码的密码验证吗?
为了规划未来,你不想存储盐和迭代次数吗?
另外,是否有可能通过执行额外的迭代来“增强”现有的密码散列,或者迭代是否都必须作为一个操作进行?
浏览 9提问于2014-02-03得票数 1
回答已采纳
1回答
对于我的一个used应用程序,我使用的是ASP.NET MVC 5,有时我使用默认的密码哈希算法。我想现在转到定制的哈舍。
但问题是:,现有数据会发生什么变化?如何为执行用户更新散列?
浏览 5提问于2017-01-04得票数 0
回答已采纳
2回答
我一直在网上搜索如何在安全密码重置系统(带有重置url的电子邮件)上搜索最佳实践,在数据库中散列令牌的想法(我一开始没有实现)似乎是存储令牌的最安全的方法。
我目前正在遵循这指南,而他没有提到(为什么?)
我使用bcrypts作为密码散列,所以这也是我所使用的。
然而,用于验证的同步是这样的:Bcrypt.verify(非散列,散列);
所以我的问题是:如果reset-链接只包含令牌(它不在db中,哈希是)--我如何在db中找到用户?
在重置链接中添加电子邮件/用户it安全吗?我看到的其他服务都没有这样做(afaik),只有令牌(它们没有在db中散列令牌吗?)。
我不想制定我自己的计划,将造成
浏览 0提问于2015-05-16得票数 2
我不是密码学专家。我看到这段视频将散列和腌制作为teamtreehouse.com中使用Express和Mongo的用户身份验证课程的一部分。
我从视频中了解到,散列是存储在DB中的密码的表示,用于防止公司工作人员复制密码(哈希将适合身份验证中提供的密码),并首先通过在散列函数中传递密码(在本例中为简单散列函数)中传递密码来创建。
我也理解盐析散列是随机杂凑的。
我从视频中无法理解的是,如果我们对散列进行更改(使其盐化),每次重新进行身份验证,散列将如何继续正确地进行评估。换句话说,它怎么可能仍然匹配密码。
编辑:也许我应该问:创建salt的机制是什么,将其与散列并列,并确保密码符合hash+
浏览 0提问于2017-09-24得票数 22
回答已采纳
1回答
我已经创建了描述的密钥散列(在步骤4的末尾):
他们告诉你密码是android
这对于debug.keystore是正确的,但是我的distr.keystore有不同的密码
当我将它们与distr.keystore一起使用时,这两个密码都有效,并产生了不同的密钥散列。
我希望看到:-您输入了错误的密码
我认为非android密码是正确的。但是我如何测试Key Hash是正确的Key Hash而另一个不是。
浏览 5提问于2013-03-19得票数 1
我在ASP.Net Web应用程序中的登录功能,我打算用一种更好的安全方式,所以我用谷歌搜索了很多,最后我找到了: CrackStation.net。这真的很神奇..。问题是他们没有提到如何在数据库中存储盐和散列密码。这是一个在破解站找到的代码。我还有一个可以在浏览器中运行的。
我想知道如何在数据库中存储密码(slat和hash都连接并保存在一列中)或(每个都在不同的列中,例如盐是盐列,哈希是哈希列)…
请一步一步地解释密码的盐化和哈希处理,以保存在数据库中,并从数据库中检索和变量。
salt和hash是一样的吗?
我们在什么时候生成盐(随机盐)?为什么我们在sql数据库中将盐保存在单独的列中
浏览 0提问于2014-12-01得票数 0
我目前正在使用蚊子()的密码生成工具mosquitto_passwd,我对散列算法、盐类等等不太了解,但我想我理解的一件事是如何验证凭证--例如:密码使用特定的算法进行散列,存储,每次我们想检查用户是否获得正确的密码时,我们使用相同的算法散列输入,如果哈希与存储的密码相同,这意味着它是相同的密码。
但是当我用蚊子生成相同密码的散列时,我发现这些散列是不一样的:
$ mosquitto_passwd -H sha512 -b passfile user password生成:
第一次$6$Bu5dTpOWUYWMXZFk$unOkjDIots1jbOhzdthqXrz3WQ9uSx1ZmwGHl
浏览 9提问于2022-07-19得票数 2
1回答
Laravel密码散列
、、、
我有一个外部服务,希望通过我在Laravel应用程序中创建的定制API来创建用户。
而不是远程端发送我的密码,以纯文本,我希望远程端首先散列密码,但是,我不确定如何使用散列。
远程终端使用ASP.NET使事情稍微复杂一些。
我猜Laravel正在使用CRYPT_BLOWFISH,因为这是服务器上最强大的,但不确定盐是如何工作的。有人能告诉我吗?
浏览 4提问于2017-06-27得票数 0
在我的SQLMVC5应用程序中,我必须使用如下查询检索ASP.NET Server登录的散列密码:
select password from sys.syslogins where name = 'name'
结果是:
如何查询数据库以获取有效的Base64密码?
堆栈跟踪中最顶层的项是System.Convert.FromBase64_Decode。
我正在尝试实现IUserPasswordStore,它似乎希望哈希密码是Base64格式的
浏览 0提问于2015-06-16得票数 0
1回答
如何散列密钥存储库的密码?然后如何使用散列从keystore中检索某些内容?类似地,如何使用散列密码访问数据库?
我对密码进行了加密,并将密钥存储在keystore中,我知道这不是一个好的设计,更好的解决方案是以散列方式存储密码,然后使用它。
不确定在散列后如何使用,即如何比较和允许通过身份验证的访问?
浏览 0提问于2014-04-28得票数 1
1回答
Asp.net身份哈希是否安全?
、、、、
我在下面的url中为Rijndael和Asp.net哈希实现引用了以下站点。
Rijndael -
Asp.net散列-
在这两个实现中,以下内容用于获取密码的随机字节。RijnDael
Rfc2898DeriveBytes pdb = new Rfc2898DeriveBytes(password, SALT);
Asp.net身份哈希
Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(providedPassword, salt, HasingIterationsCount)
在上面的代码之后,RijnDael为返回的字
浏览 1提问于2016-10-13得票数 1
回答已采纳
2回答
我们有一个旧的遗留应用程序,该应用程序将客户密码存储为加盐的MD5散列。我们已经用ASP.NET MVC编写了一个新的应用程序来取代它。
我想将密码字段的保护提高一个档次,并使用SHA1散列。显然,我需要这样做,而不是强迫客户更新他们的密码来创建新的SHA1散列。
我的想法是使用SHA1对现有的MD5散列进行散列。这意味着当客户登录和重置密码时,我仍然需要使用MD5进行散列,然后使用SHA1再次进行散列,但我可以接受这一点。
有人能发现这种方法中的任何缺陷吗?对我来说,这似乎
浏览 3提问于2011-01-09得票数 1
回答已采纳
2回答
系统如何知道例如在svn环境中使用DES加密散列将帐户存储在.passwd内的位置,以及输入的密码是否正确。
如果我错了,请纠正我,但是如果我转换了一个特定的密码,例如"test“,由于盐的原因,使用DES散列,有很多可能性。除了知道输入的密码是正确的之外,系统(我想象它只是比较生成的散列)如何知道呢?
浏览 0提问于2013-07-23得票数 3
回答已采纳
我正面临着湿疹。
我在客户端服务器应用程序上使用Asp.Net标识来存储用户帐户、角色和密码。只是为了避免样板,而不是重新发明wheel.That的工作。
但是,我想验证远程客户端。我不想通过有线传输密码,所以我也想编码/散列它,并检索访问令牌。
Asp.Net中的散列机制使用了一个随机盐,包含在AspNetUsers表中的"PasswordHash“字段中,其中包括加密算法、salt、版本等。
对于如何安全地验证客户端密码有任何建议吗?也许是提取服务器上的盐,在客户机上发送/重新编码密码,还是类似的东西?
服务器:保存的散列
Client:散列/加密和发送到服务器的密码
需要:安全地
浏览 0提问于2018-12-26得票数 0
回答已采纳
我正在实现一个自定义的MembershipProvider类,它利用了我的富领域模型。我之所以犹豫,是因为我想确保正确地处理密码。我想在数据库中散列密码,但我似乎找不到任何最佳实践或示例代码来在ASP.NET中做到这一点。有没有可能编写一个自定义MembershipProvider类,但以某种方式利用基类来处理密码细节?
浏览 0提问于2012-07-18得票数 0
回答已采纳
1回答
我在研究如何做盐和哈希。我将使用SHA256。以下是我的发现:
存储密码
使用CSPRNG生成一个长的随机盐。
将salt准备到密码,并使用标准的密码散列函数(如Argon2、bcrypt、scrypt或PBKDF2 )散列它。
在用户的数据库记录中同时保存salt和hash。
验证密码
从数据库检索用户的salt和hash。
将salt准备到给定的密码,并使用相同的哈希函数对其进行散列。
将给定密码的哈希与数据库中的哈希进行比较。如果它们匹配,密码是正确的。否则,密码不正确。
我的问题是:在数据库中对用户的密码进行散列后,如何获得原始的盐分?您不能“解散”盐分,并将其添加到他们输入的密码中,
浏览 0提问于2017-11-13得票数 1
我非常接近确切地理解bcrypt的比较功能是如何工作的,但是在我的知识中有一些缺失的漏洞。
我迄今为止的理解是:
brcypt氏族使用纯文本密码和随机生成的盐类进行散列密码。哈希密码是bcrypt版本、哈希盐和级联散列纯文本密码的组合。当用户登录时,他们的纯文本密码将通过比较函数运行。此时,bcrypt知道哈希中有多少个字符,从什么偏移量开始从完整哈希中分割散列盐分。然后将salt与以纯文本密码传递的salt连接起来,通过散列算法运行salt,得到最后的散列字符串。散列字符串与数据库中的散列字符串进行比较,如果有准确的字符匹配,则密码是正确的。
两个问题。
哈希不应该是不可能逆转的吗?如果
浏览 1提问于2019-07-10得票数 1
1回答
我正在使用用户帐户的asp.net会员资格,用户密码是加密的,并在用户注册时存储到sql数据库中,我的问题是当用户忘记密码时,我无法正确地从数据库中检索密码,我不知道如何才能反向加密。我非常感谢您的帮助。
浏览 0提问于2015-07-19得票数 0
1回答
未正确验证Bcrypt的问题
、、、、
我正在使用一个编写的名为的脚本。我认为我正确地遵循了他的指示,但我似乎无法使用password_verify($password, $hash)验证我的密码。
保存在我的数据库中的散列密码是;
$2y$10$zYpSzIj7kTPv3H7wDI/uXSYqi1se46b38uumP6SM4XGMmsjU3q
我使用PDO获取我的散列密码,并使用password_verify($password, $hash)比较登录表单发布的内容。我的理解是,BRCYPT不是散列函数,所以password_verify($password, $hash)将执行它的魔术。我不知道salt是如何创建的,但我认为它
浏览 1提问于2013-04-26得票数 0
回答已采纳
1回答
我有一个潜在的客户,在ASP.NET 3.5设置他们的网站和会员系统。当他们的开发人员设置系统时,他似乎关闭了密码存储的安全/散列方面,一切都是明文存储的。
是否有流程可以重新安装/更改ASP.NET成员身份的安全密码存储,而无需更改数据库中的所有密码?客户担心,如果他们都必须经历大规模的密码更改,他们会失去客户。
我安装时总是默认开启安全保护,因此我不知道切换的效果。有没有一种方法可以将整个系统转换为安全的密码系统,而不会对用户造成重大影响?
浏览 0提问于2010-03-12得票数 2
回答已采纳
我有一个现有的成员数据库,其中密码是用户名和唯一id的散列。据我所知,ASP.NET标识将为您处理盐渍密码。
但是,我需要我的旧哈希密码才能工作,直到它们被更新(也就是说,它们需要在第一次登录时工作,这时我将更新它)。
IPasswordHasher有方法:VerifyHashedPassword(string hashedPassword, string providedPassword)。这种方法不允许我传递任何盐。我意识到我不需要为任何新的哈希密码提供一个值,但是对于我现有的密码,我需要做一个遗留检查。
public class CoolGuyPasswordHasher : Passw
浏览 1提问于2014-03-25得票数 3
回答已采纳
我有一个网站,使用默认的asp.net安全认证用户和一个表的密码散列和盐。是否可以将这些密码与haveibeenpwned.com数据库中的散列密码进行比较?
浏览 1提问于2018-09-05得票数 0
4回答
目前我只是在玩弄PHP,但我遇到了一个我想要扩展的想法,我需要知道它在您看来有多安全,以及如何改进它以使它可以被实际使用所接受。
我是这样在数据库中存储密码的:
纯文本密码->散列密码(我使用漩涡,但任何方法实际上都能工作)->洗牌/置乱散列密码(使用str_shuffle()函数)。
我像这样将用户密码存储在数据库中,以确保数据库是否受到了破坏,这样攻击者就不可能在数据库中逆转已损坏的密码哈希。(因为在某种意义上,你如何逆转曾经是散列的随机文本?--尽管我确信你可以通过比较共享相同字符的哈希列表来创建一个可能性列表。)
我检查他们在登录表单中输入的用户密码是否正确(与数据库中已损
浏览 11提问于2014-01-29得票数 1
我在我的项目中使用了Asp.Net身份密码hasher。现在,我需要从散列字符串中获取真正的字符串。我该怎么做才能从散列字符串中返回真正的字符串呢?
private Microsoft.AspNet.IdentityIPasswordHasher _passwordHasher;
string hashedString = _passwordHasher.HashPassword('realstring');
这是我用来散列字符串的代码:
string realString = _passwordHasher.UnHashPassword('hashedstring&#
浏览 5提问于2016-10-13得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
