Hashing der Passwörter Mit ASP.NET MVC-3

Ich bin jetzt in den Prozess der versucht, herauszufinden, der beste Weg, Hash das Passwort für mein ASP.NET MVC 3-Anwendung. Von dem was ich höre, ist es gut zu verwenden, das Passwort und einem zufälligen salt und speichern Sie dann das gehashte Passwort und Salz zusammen. Meine Frage ist nicht zu machen, dass die zufällige Salz sinnlos? Ich meine, der Grund für die hash ein Passwort ist, weil wenn jemand in Ihre Datenbank, Sie haben nicht die einfachen Passwörter und das Salz macht es viel viel härter zur Umkehrung der hash-um das Passwort zu erhalten, aber wenn ich speichern den hash mit dem Kennwort, was ist der Punkt, den Salz (mein wissen über hashing ist jeder so beschränkt, ich könnte völlig off base mit meinem denken).

Meine zweite Frage ist, was hashing-Methode ist die beste zu verwenden? Ich habe gelesen, dass MD5 (was ich auch immer verwendet haben) ist sehr einfach zu knacken. Ich höre die bcrypt/sha512 sind ziemlich gut. Welche sollte man verwenden? Ich weiß, dass C# standardmäßig kommt mit der sha512-Hash. Von was ich sehen kann, bcrypt ist nicht enthalten in der .NET-Bibliothek, gibt es gute Bibliotheken für C# und bcrypt?

InformationsquelleAutor ryanzec | 2011-06-18
  1. 10

    gibt es keine Notwendigkeit, Sie zu speichern das Salz in einem anderen Ort, sollten Sie immer davon ausgehen Salz in bekannt, die durch einen Angreifer sowieso, und Ihr Zweck ist nicht, ein extra Passwort!!!!

    In .NET diese API wird alles, was Sie tun müssen, wird es schaffen große crypto random Salz sowie HMACSHA512 hashing und key-stretching über byte-swapping vor jedem AES-Verschlüsselung pass 🙂

    http://sourceforge.net/projects/pwdtknet/

    • +1 für die nette Antwort, vor allem "man sollte immer davon ausgehen, Salz in bekannt, die durch einen Angreifer".
    • Gute Antwort. Alle das Salz ist da zu tun ist, um den Akt der Erstellung der rainbow-Tabellen erschweren zum Beispiel, wenn Sie eine haben Salz für alle Benutzer (mit oder ohne Salz), dann knacken die 1000 Passwörter, die Sie bräuchte nur 1 Regenbogen-Tabelle. Wenn Sie speichern random Salz mit dem Passwort, das Sie benötigen, 1000 rainbow-tables zu knacken 1000 Passwörter.
    InformationsquelleAutor hdizzle
  2. 1

    Salzen erhöht die Resistenz gegen ein rainbow - /Wörterbuch-Angriff. Ein paar Sicherheitslücken, die stattgefunden haben, waren in diesem Jahr, da die web-Anwendung die Datenbank enthielt Passwörter ohne Salz, und fertig waren Sie mit md5. So eine einfache rainbow-Angriff, produziert das Passwort innerhalb von Sekunden für ein paar Anwender, die schreckliche Passwörter.

    Für die Bereitstellung von Benutzer-Authentifizierung mit MVC 3, Sie sollten wirklich die Rahmen für diese Art der Sache. Coming up mit Ihrem eigenen benutzerdefinierten Authentifizierungsanbieter konnte Probleme verursachen, wenn Sie nicht tun es richtig.

    Werfen Sie einen Blick auf
    http://msdn.microsoft.com/en-us/library/ff398049%28v=VS.98%29.aspx und http://msdn.microsoft.com/en-us/library/yh26yfzy.aspx. Wenn Sie die .NET-Mitgliedschaft-system, brauchen Sie nicht zu tun, low-level-Datenbank oder das Passwort-management. Sie setzen einfach die [Genehmigen] - tags um die controller-Aktionen werden müssen-auth würde und fertig.

    InformationsquelleAutor mattypiper
  3. 1

    Hier ist eine schöne C# - Implementierung von bcrypt:

    http://bcrypt.codeplex.com/

    InformationsquelleAutor gram
  4. 1

    SHA512 ist eine gute Wahl für das hashing in .net und wenn Sie speichern Sie das Salz mit dem Passwort ist es ein bisschen sinnlos (aber die "Entschlüsselung" noch brauchen würde, eine längere Zeit), aber Sie können speichern das Salz irgendwo sonst, so dass die DB nicht genug:

    • lagern Sie das Salz nur woanders
    • verwenden Sie immer den gleichen salt und z.B. fest in den code oder speichern Sie es in den app-Einstellungen
    • generieren, die den salt für jeden user von einigen anderen Informationen, z.B. MD5 der Benutzer-id
    • generieren, die den salt für alle Benutzer von einige system-Einstellungen wie hostname oder ähnliche

    UPDATE:

    Wie Mike schon sagte, dass ich falsch bin mit dem "sinnlos" Aussage oben. Selbst wenn der salt bekannt ist, machen wird es Rainbow-Table Angriffe nutzlos (oder viel mehr unwahrscheinlich ist), so sollten Sie immer Salz, auch wenn die Speicherung der salt direkt neben dem hash (z.B. linux speichert die Passwörter der Benutzer in der shadow-Datei in form von "$id$salt$Hash")!

    InformationsquelleAutor ChrFin
  5. -1

    Ich habe immer verwendet den folgenden Ansatz zur Speicherung der Passwörter

    public static string MD5Hash(string value)
{
    return Convert.ToBase64String(new MD5CryptoServiceProvider().ComputeHash(new UTF8Encoding().GetBytes(value)));
}

    Es ist nie eine Frage ob es möglich ist, zur Wiederherstellung solcher hash, um original-Passwort.

    • MD5 ist eine sehr schwache hash und können brute-gezwungen, relativ schnell mit modernen PCs. Sollten Sie geben diesem post ein Lesen: stackoverflow.com/questions/1756188/...
    • Ich habe diesen Beitrag gelesen und ich kann davon ausgehen, dass 1) wenn jemand die Speicherung der Datenbank kann er/Sie brutforde die Passwörter im Falle der Verwendung von Krypto-Verfahren, ohne einen geheimen Schlüssel. Aus dieser Sicht MD5 und SHA256 und SHA1 identische Stärke von brute-force. 2) der einzige Weg, um einen wirklich starken Passwörtern ist die Verwendung des hash-Methode, die Breite einen geheimen Schlüssel, gespeichert in der Anwendung (nicht in der Datenbank). Dann, wenn die Datenbank gestohlen werden, niemand brute-force knacken kann Ihre Passwörter.
    InformationsquelleAutor Anubis
  6. -1

    Wenn Sie gehackt in Ihre Sicherheits-Datenbank zu stehlen, die Menschen hashed Passwort, dann ist es unwahrscheinlich, dass Sie wirklich brauchen würde, das Kennwort an diesem Punkt. Sie haben bereits Zugang zu allen Daten in der Datenbank am wahrscheinlichsten. Ein MD5-hash ist wahrscheinlich gut für den durchschnittlichen website, wenn es ist etwas einfacher mit Daten, ist nicht wertvoll. Andere erschwert hashing-Methoden wäre gut für Daten, die wahrscheinlich mehr wertvollen.

    InformationsquelleAutor Tampa Mike
Schreibe einen Kommentar