C# Passwort-Verschlüsselung

Fand ich einige code-online, das funktioniert ziemlich gut für das, was ich zu tun versuche. Ich brauche etwas, das verschlüsseln ein Kennwort, speichern Sie in einer Datenbank und abrufen mit Leichtigkeit. Der code unten tut fast alles, was ich Suche.

        string UserName = txtUser.Text;
        string password = txtPass.Text;

        string encrKey = "keyvalue";
        byte[] byteKey = { };
        byte[] IV = {25, 47, 60, 88, 99, 106, 125, 139};
        byteKey = Encoding.UTF8.GetBytes(encrKey.Substring(0, 8));
        DESCryptoServiceProvider des = new DESCryptoServiceProvider();
        byte[] inputArray = Encoding.UTF8.GetBytes(password);

        MemoryStream ms = new MemoryStream();
        CryptoStream cs = new CryptoStream(ms, des.CreateEncryptor(byteKey, IV), CryptoStreamMode.Write);
        cs.Write(inputArray, 0, inputArray.Length);
        cs.FlushFinalBlock();
        password = Convert.ToBase64String(ms.ToArray());

        SqlCommand cmd = new SqlCommand("INSERT INTO USers (UserName, Password) VALUES (@UserName, @Password)", myConnection);
        cmd.CommandType = CommandType.Text;

        cmd.Parameters.AddWithValue("@UserName", UserName);
        cmd.Parameters.AddWithValue("@Password", password);

        SqlDataReader rdr = cmd.ExecuteReader();

Das Problem, das ich verwende, ist der Fehler code aus, wenn das Kennwort ist 8 Zeichen oder mehr. Ich bekomme diese Fehlermeldung:

System.Sicherheit.Die Kryptographie.CryptographicException: die Angegebene Taste ist keine gültige Größe für diesen Algorithmus. Der Fehler wird generiert, auf die Cryptostream-Linie.

Brauche ich eine andere Art für meine Schlüssel?

InformationsquelleAutor Matt | 2011-06-28
  1. 14

    Die gängige Praxis ist nicht zu verschlüsseln ein Kennwort in der Datenbank, aber zu Hashen.

    Wenn der Benutzer versucht, sich einzuloggen, nehmen Sie seine eingegebene Passwort Hashen und zu vergleichen, um die hash gespeichert in deine db.

    Den Industrie-standard-hashing-Algorithmus SHA-1 wird gelesen verfügbar .NET.

    Für noch mehr Sicherheit verwenden Sie die "Salz" in Ihrer Vermischung.

    Lesen Sie mehr über es hier: Salzen Sie Ihr Passwort: Best Practices?

    • Ich habe versucht, MD5 und habe es funktioniert perfekt, aber ich konnte nicht herausfinden, wie das vergleichen des hash in der Datenbank, um die login-Maske und der Passwort vergessen link.
    • Wenn Sie hash-Ihre Passwörter, die Sie nicht wollen, eine "Passwort Vergessen" schickt der Benutzer sein Aktuelles Passwort, sondern Sie bieten eine "Passwort Zurücksetzen".
    • SHA1 ist besser als MD5, da MD5 nicht mehr als sicher genug.
    • Ich kann das tun. Meine Letzte Frage wäre, wie kann ich vergleichen die Klartext-Passwort aus der login-form-text-Feld für das gehashte Passwort in der Datenbank?
    • wenn der Benutzer versucht, die login-hash sein Passwort getippt mit der exakt gleichen hashing-Algorithmus, Sie hat mit seinem initial-Passwort und vergleichen Sie die hash-Ergebnisse.
    • So würde ich den Vergleich durch meine SQL-Anweisung? Meine aktuelle Anweisung ist die SELECT-u.UID, Server-id, über die Berechtigung VON Anwendern u, Rollen WHERE Benutzername = @Benutzer UND Passwort = @Passwort
    • das wäre in Ordnung, solange @Passwort wird der Hash-Wert.
    • Ich hatte @Passwort festlegen, um die textbox immer noch. Ich habe ihn an meine Hash-Wert und alles funktioniert Super. Vielen Dank für all Ihre Hilfe.
    • "Die Industrie-standard-hashing-Algorithmus SHA-1 ist..." KEINE, obwohl es nicht gebrochen wurde, wie MD5, nicht verwenden SHA-1. bcrypt.

    InformationsquelleAutor Variant
  2. 2

    Wenn Sie brauchen, um tatsächlich die Umkehrung der Verschlüsselung, verwenden Sie einfach die ProtectedData Klasse:
    http://msdn.microsoft.com/en-us/library/system.security.cryptography.protecteddata.aspx

    Wenn andere hier korrekt sind, verwenden Sie ein salted hash wie in der Beispiel-Klasse unten. Der folgende Auszug wurde aus "Ein weiteres Beispiel dafür, wie speichern einer gesalzenen Passwort-hash"

    public sealed class PasswordHash
{
    const int SaltSize = 16, HashSize = 20, HashIter = 10000;
    readonly byte[] _salt, _hash;
    public PasswordHash(string password)
    {
        new RNGCryptoServiceProvider().GetBytes(_salt = new byte[SaltSize]);
        _hash = new Rfc2898DeriveBytes(password, _salt, HashIter).GetBytes(HashSize);
    }
    public PasswordHash(byte[] hashBytes)
    {
        Array.Copy(hashBytes, 0, _salt = new byte[SaltSize], 0, SaltSize);
        Array.Copy(hashBytes, SaltSize, _hash = new byte[HashSize], 0, HashSize);
    }
    public PasswordHash(byte[] salt, byte[] hash)
    {
        Array.Copy(salt, 0, _salt = new byte[SaltSize], 0, SaltSize);
        Array.Copy(hash, 0, _hash = new byte[HashSize], 0, HashSize);
    }
    public byte[] ToArray()
    {
        byte[] hashBytes = new byte[SaltSize + HashSize];
        Array.Copy(_salt, 0, hashBytes, 0, SaltSize);
        Array.Copy(_hash, 0, hashBytes, SaltSize, HashSize);
        return hashBytes;
    }
    public byte[] Salt { get { return (byte[])_salt.Clone(); } }
    public byte[] Hash { get { return (byte[])_hash.Clone(); } }
    public bool Verify(string password)
    {
        byte[] test = new Rfc2898DeriveBytes(password, _salt, HashIter).GetBytes(HashSize);
        for (int i = 0; i < HashSize; i++)
            if (test[i] != _hash[i])
                return false;
        return true;
    }
}
    InformationsquelleAutor csharptest.net
  3. 1

    Hashing der Passwörter ist viel besser als verschlüsseln. Sie speichern den hash des Passwortes in der Datenbank, und Sie kümmern sich nicht mehr über den normalen text-Kennwort. Wenn der Benutzer-Logon, Holen Sie die normale text-Passwort, hash und Vergleiche die beiden hashes (d.h. die in der Datenbank, und die, die Sie Hash aus der Eingabe des Benutzers) zu authentifizieren. Der klare Vorteil hier ist, dass Sie sicherstellen, dass keine man - was auch immer der Grund, warum er Zugriff auf die Datenbank - wissen, das original-Passwort (theoretisch).

    InformationsquelleAutor mohammedn
  4. 1

    ich schlage vor, u bcrypt verwenden. der source-code zur Verfügung, bei http://code.google.com/p/bcryptnet/
    download und verwenden Sie es. aber bevor Sie es verwenden. die Dokumentation zu Lesen und zu verstehen, wie es funktioniert und warum bcrypt...
    es ist wichtig.

    durch meine Forschung für ein paar Wochen über die Passwort-Verschlüsselung. schließlich fand ich dieses bcrypt, die am besten zu meinen Bedürfnissen angepasst. ( ich denke, es ist am besten geeignet für Passwort, korrigiert mich wenn ich falsch bin)

    es ist eine ein-Weg-Verschlüsselung. genau wie das, was einige dope Programmierer sagte, Hashen und zu vergleichen, aber nicht entschlüsseln.

    hoffe, dies hilft Ihnen. wenn Sie finden, othre interessante Dinge bitte lassen Sie mich wissen XD peace~~

    alles, was ich sagte, falsch ist, korrigiert mich XD

    InformationsquelleAutor Tian Loon
  5. 0

    Versuchen Sie dies:

    var hash = Encoding.ASCII.GetBytes(password);
var sha1 = new SHA1CryptoServiceProvider();
var sha1hash = sha1.ComputeHash(hash);
var hashedPassword = Encoding.ASCII.GetString(sha1hash);
    • Siehe oben post-Variante.
    • -1 Mithilfe von ASCII ist eine schrecklich Idee. Das bedeutet, dass jedem Zeichen außerhalb des ASCII-Bereichs sind ignoriert! Also zwei völlig andere Passwörter nur aus nicht-ASCII-Zeichen haben den gleichen hash!
    InformationsquelleAutor mrK
Schreibe einen Kommentar