Hash- und Salz-Passwörter in C #

War ich einfach nur durch eine DavidHayden Artikel auf Hashing Benutzer-Passwörter.

Wirklich ich kann nicht das bekommen, was er versucht zu erreichen.

Hier ist der code:

private static string CreateSalt(int size)
{
    //Generate a cryptographic random number.
    RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
    byte[] buff = new byte[size];
    rng.GetBytes(buff);

    //Return a Base64 string representation of the random number.
    return Convert.ToBase64String(buff);
}

private static string CreatePasswordHash(string pwd, string salt)
{
    string saltAndPwd = String.Concat(pwd, salt);
    string hashedPwd =
        FormsAuthentication.HashPasswordForStoringInConfigFile(
        saltAndPwd, "sha1");
    return hashedPwd;
}

Gibt es andere C# - Methode für das Hashen der Passwörter und die Zugabe von Salz zu?

InformationsquelleAutor der Frage Chendur Pandian | 2010-01-26

  1. 219

    Eigentlich ist das irgendwie seltsam, mit der string-Konvertierungen - die Mitgliedschaft Anbieter hat Sie in die config-Dateien. Hashes und Salze sind binäre blobs, die Sie nicht brauchen, um Sie zu konvertieren strings, es sei denn, Sie wollen, um Sie in text-Dateien.

    In meinem Buch, Anfang ASP.NET Sicherheit(oh endlich, eine Entschuldigung zu pimpen das Buch) ich mache folgenden

    static byte[] GenerateSaltedHash(byte[] plainText, byte[] salt)
{
  HashAlgorithm algorithm = new SHA256Managed();

  byte[] plainTextWithSaltBytes = 
    new byte[plainText.Length + salt.Length];

  for (int i = 0; i < plainText.Length; i++)
  {
    plainTextWithSaltBytes[i] = plainText[i];
  }
  for (int i = 0; i < salt.Length; i++)
  {
    plainTextWithSaltBytes[plainText.Length + i] = salt[i];
  }

  return algorithm.ComputeHash(plainTextWithSaltBytes);            
}

    Salz generation ist, wie das Beispiel in der Frage. Sie können konvertieren von text in byte-arrays mit Encoding.UTF8.GetBytes(string). Wenn Sie konvertieren müssen ein hash in seine Zeichenfolgendarstellung, die Sie verwenden können Convert.ToBase64String und Convert.FromBase64String zu konvertieren zurück.

    Sollten Sie beachten, dass Sie nicht mit dem Gleichheits-operator auf byte-arrays, es wird überprüft, Referenzen, und so sollten Sie einfach eine Schleife durch beide arrays prüfen jedes byte so

    public static bool CompareByteArrays(byte[] array1, byte[] array2)
{
  if (array1.Length != array2.Length)
  {
    return false;
  }

  for (int i = 0; i < array1.Length; i++)
  {
    if (array1[i] != array2[i])
    {
      return false;
    }
  }

  return true;
}

    Immer verwenden Sie einen neuen salt pro Passwort. Salze müssen nicht geheim gehalten werden und kann gespeichert werden neben dem hash selbst.

    InformationsquelleAutor der Antwort blowdart

  2. 39

    Was blowdart gesagt, aber mit ein wenig weniger code. Verwenden von Linq oder CopyTo zu verketten arrays.

    public static byte[] Hash(string value, byte[] salt)
{
    return Hash(Encoding.UTF8.GetBytes(value), salt);
}

public static byte[] Hash(byte[] value, byte[] salt)
{
    byte[] saltedValue = value.Concat(salt).ToArray();
    //Alternatively use CopyTo.
    //var saltedValue = new byte[value.Length + salt.Length];
    //value.CopyTo(saltedValue, 0);
    //salt.CopyTo(saltedValue, value.Length);

    return new SHA256Managed().ComputeHash(saltedValue);
}

    Linq bietet eine einfache Möglichkeit für den Vergleich der byte-arrays zu.

    public bool ConfirmPassword(string password)
{
    byte[] passwordHash = Hash(password, _passwordSalt);

    return _passwordHash.SequenceEqual(passwordHash);
}

    Vor der Umsetzung dieser jedoch, check-out dieser Beitrag. Für die Passwort-hashing-möchten Sie vielleicht eine langsame hash-Algorithmus, der nicht einem schnellen.

    Zu diesem Zweck gibt es die Rfc2898DeriveBytes - Klasse, die langsam (und langsamer), und die Antwort auf den zweiten Teil der ursprünglichen Frage, dass es dauern kann, ein Passwort und Salz und geben Sie einen hash. Sehen diese Frage für weitere Informationen. Beachten Sie, Stack Exchange ist mit Rfc2898DeriveBytes für das Passwort-hashing (source code hier).

    InformationsquelleAutor der Antwort Adam Boddington

  3. 25

    Habe ich gelesen, dass Hash-Funktionen wie SHA256 waren nicht wirklich vorgesehen für den Einsatz mit Speicherung der Passwörter:
    https://patrickmn.com/security/storing-passwords-securely/#notpasswordhashes

    Statt adaptive Schlüssel-Ableitung Funktionen wie PBKDF2, bcrypt oder scrypt wurden. Hier ist ein PBKDF2 auf der Basis, dass Microsoft schrieb für PasswordHasher in Ihre Microsoft.AspNet.Identität Bibliothek:

    /* =======================
 * HASHED PASSWORD FORMATS
 * =======================
 * 
 * Version 3:
 * PBKDF2 with HMAC-SHA256, 128-bit salt, 256-bit subkey, 10000 iterations.
 * Format: { 0x01, prf (UInt32), iter count (UInt32), salt length (UInt32), salt, subkey }
 * (All UInt32s are stored big-endian.)
 */

public string HashPassword(string password)
{
    var prf = KeyDerivationPrf.HMACSHA256;
    var rng = RandomNumberGenerator.Create();
    const int iterCount = 10000;
    const int saltSize = 128 / 8;
    const int numBytesRequested = 256 / 8;

    //Produce a version 3 (see comment above) text hash.
    var salt = new byte[saltSize];
    rng.GetBytes(salt);
    var subkey = KeyDerivation.Pbkdf2(password, salt, prf, iterCount, numBytesRequested);

    var outputBytes = new byte[13 + salt.Length + subkey.Length];
    outputBytes[0] = 0x01; //format marker
    WriteNetworkByteOrder(outputBytes, 1, (uint)prf);
    WriteNetworkByteOrder(outputBytes, 5, iterCount);
    WriteNetworkByteOrder(outputBytes, 9, saltSize);
    Buffer.BlockCopy(salt, 0, outputBytes, 13, salt.Length);
    Buffer.BlockCopy(subkey, 0, outputBytes, 13 + saltSize, subkey.Length);
    return Convert.ToBase64String(outputBytes);
}

public bool VerifyHashedPassword(string hashedPassword, string providedPassword)
{
    var decodedHashedPassword = Convert.FromBase64String(hashedPassword);

    //Wrong version
    if (decodedHashedPassword[0] != 0x01)
        return false;

    //Read header information
    var prf = (KeyDerivationPrf)ReadNetworkByteOrder(decodedHashedPassword, 1);
    var iterCount = (int)ReadNetworkByteOrder(decodedHashedPassword, 5);
    var saltLength = (int)ReadNetworkByteOrder(decodedHashedPassword, 9);

    //Read the salt: must be >= 128 bits
    if (saltLength < 128 / 8)
    {
        return false;
    }
    var salt = new byte[saltLength];
    Buffer.BlockCopy(decodedHashedPassword, 13, salt, 0, salt.Length);

    //Read the subkey (the rest of the payload): must be >= 128 bits
    var subkeyLength = decodedHashedPassword.Length - 13 - salt.Length;
    if (subkeyLength < 128 / 8)
    {
        return false;
    }
    var expectedSubkey = new byte[subkeyLength];
    Buffer.BlockCopy(decodedHashedPassword, 13 + salt.Length, expectedSubkey, 0, expectedSubkey.Length);

    //Hash the incoming password and verify it
    var actualSubkey = KeyDerivation.Pbkdf2(providedPassword, salt, prf, iterCount, subkeyLength);
    return actualSubkey.SequenceEqual(expectedSubkey);
}

private static void WriteNetworkByteOrder(byte[] buffer, int offset, uint value)
{
    buffer[offset + 0] = (byte)(value >> 24);
    buffer[offset + 1] = (byte)(value >> 16);
    buffer[offset + 2] = (byte)(value >> 8);
    buffer[offset + 3] = (byte)(value >> 0);
}

private static uint ReadNetworkByteOrder(byte[] buffer, int offset)
{
    return ((uint)(buffer[offset + 0]) << 24)
        | ((uint)(buffer[offset + 1]) << 16)
        | ((uint)(buffer[offset + 2]) << 8)
        | ((uint)(buffer[offset + 3]));
}

    Hinweis: dies erfordert Microsoft.AspNet.Die Kryptographie.KeyDerivation nuget-Paket installiert, die benötigt werden .NET 4.5.1 oder höher. Für frühere Versionen von .NET finden Sie in der Crypto - Klasse aus der Microsoft-System.Web.Helfer-Bibliothek.

    Update Nov 2015

    Aktualisierte Antwort zu verwenden, um eine Implementierung aus einem anderen Microsoft-Bibliothek, die verwendet PBKDF2-HMAC-SHA256-hashing statt PBKDF2-HMAC-SHA1 (Hinweis PBKDF2-HMAC-SHA1-Hash ist noch sicherer wenn iterCount ist hoch genug). Sie können sich die Quelle der vereinfachte code wurde kopiert aus als es tatsächlich behandelt zu validieren und zu aktualisieren hashes implementiert, die von der vorherigen Antwort, hilfreich, wenn Sie brauchen, um zu erhöhen iterCount in die Zukunft.

    InformationsquelleAutor der Antwort Michael

  4. 23

    Salz wird verwendet, um hinzufügen eine zusätzliche Ebene der Komplexität, wenn die hash-Werte, die es schwerer zu machen, um brute-force zu knacken.

    Aus einer Artikel auf Sitepoint:

    Kann ein hacker immer noch durchführen
    was als ein Wörterbuch-Angriff.
    Böswillige Parteien ein
    Wörterbuch Angriff nehmen, für
    Beispiel 100,000 Passwörter, die Sie
    wissen die Menschen Häufig verwenden (z.B. Stadt
    Namen, Sportmannschaften, etc.), hash,
    und dann vergleichen Sie jeden Eintrag in der
    Wörterbuch vor jede Zeile in der
    Datenbank-Tabelle. Wenn die Hacker finden
    match bingo! Sie haben Ihr Passwort.
    Um dieses problem zu lösen, aber wir
    müssen nur salt den hash.

    Salt ein Hashwert, wir kommen einfach mit
    eine zufällig aussehende Zeichenfolge von text,
    verketten es mit dem Passwort
    geliefert durch den Benutzer, dann hash-beide
    die zufällig generierten Zeichenfolge und
    Passwort zusammen als ein Wert. Wir
    dann speichern Sie beide hash-und salt
    als separate Felder in die Benutzer
    Tabelle.

    In diesem Szenario wären nicht nur ein
    hacker brauchen, das Passwort zu raten,
    Sie würde zu erraten, das Salz als gut.
    Die Zugabe von Salz zu den klaren text verbessert
    Sicherheit: nun, wenn ein hacker versucht ein
    Wörterbuch-Angriff, muss er hash sein
    100.000 Einträge mit dem Salz jeder
    Benutzer-Reihe. Obwohl es noch
    möglich, die Chancen, hacking
    Erfolg abnehmen radikal.

    Gibt es keine Methode automatisch auf, dies zu tun .NET, also müssen Sie gehen mit der Lösung oben.

    InformationsquelleAutor der Antwort Seb Nilsson

  5. 5

    Bah, das ist besser! http://sourceforge.net/projects/pwdtknet/ und es ist besser, weil ..... es führt Key Stretching UND verwendet HMACSHA512 🙂

    InformationsquelleAutor der Antwort thashiznets

  6. 3

    Habe ich eine Bibliothek SimpleHashing.Netum den Prozess der Vermischung leicht mit basic-Klassen, die von Microsoft bereitgestellt. Gewöhnliche SHA ist nicht wirklich genug, um Passwörter sicher gespeichert mehr.

    Die Bibliothek nutzen, die Idee der hash-format von Bcrypt, aber da es keine offizielle MS-Implementierung, die ich lieber verwenden, was verfügbar ist, in den Rahmen (z.B. PBKDF2), aber es ist ein bisschen zu hart out of the box.

    Dies ist ein kurzes Beispiel, wie die Bibliothek zu benutzen:

    ISimpleHash simpleHash = new SimpleHash();

//Creating a user hash, hashedPassword can be stored in a database
//hashedPassword contains the number of iterations and salt inside it similar to bcrypt format
string hashedPassword = simpleHash.Compute("Password123");

//Validating user's password by first loading it from database by username
string storedHash = _repository.GetUserPasswordHash(username);
isPasswordValid = simpleHash.Verify("Password123", storedHash);

    InformationsquelleAutor der Antwort Ilya Chernomordik

  7. 2

    Dies ist, wie ich es tun.. ich erstelle die Raute und speichern Sie mit der ProtectedData api:

        public static string GenerateKeyHash(string Password)
    {
        if (string.IsNullOrEmpty(Password)) return null;
        if (Password.Length < 1) return null;

        byte[] salt = new byte[20];
        byte[] key = new byte[20];
        byte[] ret = new byte[40];

        try
        {
            using (RNGCryptoServiceProvider randomBytes = new RNGCryptoServiceProvider())
            {
                randomBytes.GetBytes(salt);

                using (var hashBytes = new Rfc2898DeriveBytes(Password, salt, 10000))
                {
                    key = hashBytes.GetBytes(20);
                    Buffer.BlockCopy(salt, 0, ret, 0, 20);
                    Buffer.BlockCopy(key, 0, ret, 20, 20);
                }
            }
            //returns salt/key pair
            return Convert.ToBase64String(ret);
        }
        finally
        {
            if (salt != null)
                Array.Clear(salt, 0, salt.Length);
            if (key != null)
                Array.Clear(key, 0, key.Length);
            if (ret != null)
                Array.Clear(ret, 0, ret.Length);
        } 
    }

    public static bool ComparePasswords(string PasswordHash, string Password)
    {
        if (string.IsNullOrEmpty(PasswordHash) || string.IsNullOrEmpty(Password)) return false;
        if (PasswordHash.Length < 40 || Password.Length < 1) return false;

        byte[] salt = new byte[20];
        byte[] key = new byte[20];
        byte[] hash = Convert.FromBase64String(PasswordHash);

        try
        {
            Buffer.BlockCopy(hash, 0, salt, 0, 20);
            Buffer.BlockCopy(hash, 20, key, 0, 20);

            using (var hashBytes = new Rfc2898DeriveBytes(Password, salt, 10000))
            {
                byte[] newKey = hashBytes.GetBytes(20);

                if (newKey != null)
                    if (newKey.SequenceEqual(key))
                        return true;
            }
            return false;
        }
        finally
        {
            if (salt != null)
                Array.Clear(salt, 0, salt.Length);
            if (key != null)
                Array.Clear(key, 0, key.Length);
            if (hash != null)
                Array.Clear(hash, 0, hash.Length);
        }
    }

    public static byte[] DecryptData(string Data, byte[] Salt)
    {
        if (string.IsNullOrEmpty(Data)) return null;

        byte[] btData = Convert.FromBase64String(Data);

        try
        {
            return ProtectedData.Unprotect(btData, Salt, DataProtectionScope.CurrentUser);
        }
        finally
        {
            if (btData != null)
                Array.Clear(btData, 0, btData.Length);
        }
    }

    public static string EncryptData(byte[] Data, byte[] Salt)
    {
        if (Data == null) return null;
        if (Data.Length < 1) return null;

        byte[] buffer = new byte[Data.Length];

        try
        {
            Buffer.BlockCopy(Data, 0, buffer, 0, Data.Length);
            return System.Convert.ToBase64String(ProtectedData.Protect(buffer, Salt, DataProtectionScope.CurrentUser));
        }
        finally
        {
            if (buffer != null)
                Array.Clear(buffer, 0, buffer.Length);
        }
    }

    InformationsquelleAutor der Antwort JGU

  8. 1

    Lese ich alle Antworten und ich denke, diejenigen, die genug, speziell @Michael Artikel mit langsamen Vermischung und @CodesInChaos gute Kommentare, aber ich beschlossen, zu teilen mein code-snippet für das hashing/Validierung, die nützlich sein können und es nicht erforderlich [Microsoft.AspNet.Die Kryptographie.KeyDerivation].

        private static bool SlowEquals(byte[] a, byte[] b)
            {
                uint diff = (uint)a.Length ^ (uint)b.Length;
                for (int i = 0; i < a.Length && i < b.Length; i++)
                    diff |= (uint)(a[i] ^ b[i]);
                return diff == 0;
            }

    private static byte[] PBKDF2(string password, byte[] salt, int iterations, int outputBytes)
            {
                Rfc2898DeriveBytes pbkdf2 = new Rfc2898DeriveBytes(password, salt);
                pbkdf2.IterationCount = iterations;
                return pbkdf2.GetBytes(outputBytes);
            }

    private static string CreateHash(string value, int salt_bytes, int hash_bytes, int pbkdf2_iterations)
            {
                //Generate a random salt
                RNGCryptoServiceProvider csprng = new RNGCryptoServiceProvider();
                byte[] salt = new byte[salt_bytes];
                csprng.GetBytes(salt);

                //Hash the value and encode the parameters
                byte[] hash = PBKDF2(value, salt, pbkdf2_iterations, hash_bytes);

                //You need to return the salt value too for the validation process
                return Convert.ToBase64String(hash) + ":" + 
                       Convert.ToBase64String(hash);
            }

    private static bool ValidateHash(string pureVal, string saltVal, string hashVal, int pbkdf2_iterations)
            {
                try
                {
                    byte[] salt = Convert.FromBase64String(saltVal);
                    byte[] hash = Convert.FromBase64String(hashVal);

                    byte[] testHash = PBKDF2(pureVal, salt, pbkdf2_iterations, hash.Length);
                    return SlowEquals(hash, testHash);
                }
                catch (Exception ex)
                {
                    return false;
                }
            }

    Bitte achten Sie SlowEquals so wichtige Funktion, Schließlich, ich hoffe, dies hilft und Bitte zögern Sie nicht, um mich beraten über bessere Ansätze.

    InformationsquelleAutor der Antwort QMaster

  9. 1

    Ich eine Klasse angelegt, die die folgende Methode:

    1. Erstellen, Salz
    2. Hash Input

    3. Eingaben überprüfen

      public class CryptographyProcessor
{
    public string CreateSalt(int size)
    {
        //Generate a cryptographic random number.
          RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
         byte[] buff = new byte[size];
         rng.GetBytes(buff);
         return Convert.ToBase64String(buff);
    }


      public string GenerateHash(string input, string salt)
      { 
         byte[] bytes = Encoding.UTF8.GetBytes(input + salt);
         SHA256Managed sHA256ManagedString = new SHA256Managed();
         byte[] hash = sHA256ManagedString.ComputeHash(bytes);
         return Convert.ToBase64String(hash);
      }

      public bool AreEqual(string plainTextInput, string hashedInput, string salt)
      {
           string newHashedPin = GenerateHash(plainTextInput, salt);
           return newHashedPin.Equals(hashedInput); 
      }
 }

      `

    InformationsquelleAutor der Antwort Bamidele Alegbe

  10. 0
     protected void m_GenerateSHA256_Button1_Click(objectSender, EventArgs e)
{
string salt =createSalt(10);
string hashedPassword=GenerateSHA256Hash(m_UserInput_TextBox.Text,Salt);
m_SaltHash_TextBox.Text=Salt;
 m_SaltSHA256Hash_TextBox.Text=hashedPassword;

}
 public string createSalt(int size)
{
 var rng= new System.Security.Cyptography.RNGCyptoServiceProvider();
 var buff= new byte[size];
rng.GetBytes(buff);
 return Convert.ToBase64String(buff);
}


 public string GenerateSHA256Hash(string input,string salt)
{
 byte[]bytes=System.Text.Encoding.UTF8.GetBytes(input+salt);
 new System.Security.Cyptography.SHA256Managed();
 byte[]hash=sha256hashString.ComputedHash(bytes);
 return bytesArrayToHexString(hash);
  }

    InformationsquelleAutor der Antwort ankush shukla

  11. -1

    In Antwort auf diesen Teil der ursprünglichen Frage "gibt es andere C# - Methode für das Hashen der Passwörter" können Sie dies erreichen mit ASP.NET Identität v3.0 https://www.nuget.org/packages/Microsoft.AspNet.Identity.EntityFramework/3.0.0-rc1-final

    using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using Microsoft.AspNet.Identity;
using System.Security.Principal;

namespace HashTest{


    class Program
    {
        static void Main(string[] args)
        {

            WindowsIdentity wi = WindowsIdentity.GetCurrent();

            var ph = new PasswordHasher<WindowsIdentity>();

            Console.WriteLine(ph.HashPassword(wi,"test"));

            Console.WriteLine(ph.VerifyHashedPassword(wi,"AQAAAAEAACcQAAAAEA5S5X7dmbx/NzTk6ixCX+bi8zbKqBUjBhID3Dg1teh+TRZMkAy3CZC5yIfbLqwk2A==","test"));

        }
    }


}

    InformationsquelleAutor der Antwort Dave Cornall

  12. -3
    create proc [dbo].[hash_pass] @family nvarchar(50), @username nvarchar(50), @pass nvarchar(Max),``` @semat nvarchar(50), @tell nvarchar(50)

as insert into tbl_karbar values (@family,@username,(select HASHBYTES('SHA1' ,@pass)),@semat,@tell)

    InformationsquelleAutor der Antwort ehsan

Schreibe einen Kommentar