ASP.NET Identity的默认密码哈希 - 它是如何工作的并且是否安全?我想知道在MVC 5和ASP.NET Identity Framework附带的UserManager中默认实现的Password Hasher是否足够安全?如果是这样,如果你可以向我解释它是如何工作的?IPasswordHasher界面如下所示:public interface IPasswordHasher{
string HashPassword(string password);
PasswordVerificationResult VerifyHashedPassword(string hashedPassword,
string providedPassword);}正如你所看到的,它不需要盐,但在这个帖子中提到:“ Asp.net身份密码哈希 ”,它确实在幕后加盐。所以我想知道它是如何做到的?这盐来自何处?我担心的是盐是静态的,使它非常不安全。
3 回答
森栏
TA贡献1810条经验 获得超5个赞
以下是默认实现的工作原理。它使用随机盐的密钥派生函数来生成哈希。盐被列为KDF产出的一部分。因此,每次“哈希”相同的密码时,您将获得不同的哈希值。为了验证散列,输出被拆分回salt和其余部分,并且KDF再次运行在具有指定salt的密码上。如果结果与初始输出的其余部分匹配,则验证散列。
哈希:
public static string HashPassword(string password){
byte[] salt;
byte[] buffer2;
if (password == null)
{
throw new ArgumentNullException("password");
}
using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, 0x10, 0x3e8))
{
salt = bytes.Salt;
buffer2 = bytes.GetBytes(0x20);
}
byte[] dst = new byte[0x31];
Buffer.BlockCopy(salt, 0, dst, 1, 0x10);
Buffer.BlockCopy(buffer2, 0, dst, 0x11, 0x20);
return Convert.ToBase64String(dst);}验证:
public static bool VerifyHashedPassword(string hashedPassword, string password){
byte[] buffer4;
if (hashedPassword == null)
{
return false;
}
if (password == null)
{
throw new ArgumentNullException("password");
}
byte[] src = Convert.FromBase64String(hashedPassword);
if ((src.Length != 0x31) || (src[0] != 0))
{
return false;
}
byte[] dst = new byte[0x10];
Buffer.BlockCopy(src, 1, dst, 0, 0x10);
byte[] buffer3 = new byte[0x20];
Buffer.BlockCopy(src, 0x11, buffer3, 0, 0x20);
using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, dst, 0x3e8))
{
buffer4 = bytes.GetBytes(0x20);
}
return ByteArraysEqual(buffer3, buffer4);}添加回答
举报
0/150
提交
取消