Was ist der einfachste Weg, um ein Passwort zu verschlüsseln, wenn ich es in der Registrierung speichern?

Derzeit Schreibe ich im Klartext oops!es ist eine in-house-Programm, so es ist nicht schlecht, aber ich möchte es richtig machen. Wie soll ich über die Verschlüsselung, diese beim schreiben in die registry und wie kann ich Sie entschlüsseln?

OurKey.SetValue("Password", textBoxPassword.Text);

InformationsquelleAutor der Frage | 2008-10-17

  1. 112

    Sie nicht entschlüsseln, Authentifizierung Passwörter!

    Hash Sie mit so etwas wie der SHA256-Anbieter und, wenn Sie haben, um die Herausforderung, hash die Eingabe des Benutzers und sehen Sie, wenn die beiden hashes übereinstimmen.

    byte[] data = System.Text.Encoding.ASCII.GetBytes(inputString);
data = new System.Security.Cryptography.SHA256Managed().ComputeHash(data);
String hash = System.Text.Encoding.ASCII.GetString(data);

    Verlassen Passwörter reversibel ist eine wirklich schrecklich Modell.

    Edit2: ich dachte, wir Sprachen gerade über die front-line-Authentifizierung. Sicher, es gibt Fälle, in denen Sie zum verschlüsseln von Kennwörtern für die anderen Dinge, die müssen reversibel sein, aber es sollte eine 1-way Sperre oben drauf alle (mit sehr wenigen Ausnahmen).

    Habe ich aktualisiert die hashing-Algorithmus, aber für die best mögliche Stärke, die Sie behalten möchten ein eigenes Salz und hinzufügen, dass Ihre Eingabe die vor hashing. Würden Sie dies wieder tun, wenn Sie vergleichen. Dies fügt eine weitere Schicht machen es noch schwieriger für jemanden, der rückgängig zu machen.

    InformationsquelleAutor der Antwort Oli

  2. 21

    Beachten Sie bitte auch die "Salzen" Ihren hash (kein Gastronomie-Konzept!). Im Grunde, das bedeutet, dass das Anhängen einige zufällige text, um das Kennwort, bevor Sie hash.

    "Der salt-Wert hilft, zu verlangsamen, ein Angreifer führen Sie einen Wörterbuch-Angriff sollte Ihre Anmeldeinformationen gefährdet werden, so dass Sie zusätzliche Zeit zu erkennen und zu reagieren, um den Kompromiss."

    Zum speichern von Passwort-hashes:

    a) Generieren einer zufälligen salt-Wert:

    byte[] salt = new byte[32];
System.Security.Cryptography.RNGCryptoServiceProvider.Create().GetBytes(salt);

    b) fügen Sie die Salz zum Passwort.

    //Convert the plain string pwd into bytes
byte[] plainTextBytes = System.Text UnicodeEncoding.Unicode.GetBytes(plainText);
//Append salt to pwd before hashing
byte[] combinedBytes = new byte[plainTextBytes.Length + salt.Length];
System.Buffer.BlockCopy(plainTextBytes, 0, combinedBytes, 0, plainTextBytes.Length);
System.Buffer.BlockCopy(salt, 0, combinedBytes, plainTextBytes.Length, salt.Length);

    c) der kombinierte Hash-password & Salz:

    //Create hash for the pwd+salt
System.Security.Cryptography.HashAlgorithm hashAlgo = new System.Security.Cryptography.SHA256Managed();
byte[] hash = hashAlgo.ComputeHash(combinedBytes);

    d) fügen Sie die Salz auf die resultierende hash.

    //Append the salt to the hash
byte[] hashPlusSalt = new byte[hash.Length + salt.Length];
System.Buffer.BlockCopy(hash, 0, hashPlusSalt, 0, hash.Length);
System.Buffer.BlockCopy(salt, 0, hashPlusSalt, hash.Length, salt.Length);

    e) Speichern Sie das Ergebnis in Ihrem Benutzer-Datenbank speichern.

    Dieser Ansatz bedeutet, dass Sie brauchen nicht zu speichern, das Salz getrennt und dann neu berechnen den hash mit dem salt-Wert und das Klartext-Passwort mit dem Wert vom Benutzer abgerufen.

    Bearbeiten: Als rohe Rechenleistung wird billiger und schneller, der Wert der Vermischung-oder, Salzen hashes -- zurückgegangen. Jeff Atwood hat eine ausgezeichnete 2012 update zu langatmig, zu wiederholen, in seiner Gesamtheit hier, die besagt:

    Dies (mit salted hashes) sorgen für die illusion von Sicherheit mehr, als eine tatsächliche Sicherheit. Da müssen Sie beide die Salz-und die Wahl des hash-Algorithmus zum generieren des hash, und überprüfen Sie den hash, es ist unwahrscheinlich, dass ein Angreifer ein, aber nicht die anderen. Wenn Sie schon beeinträchtigt wurde, bis zu dem Punkt, dass ein Angreifer Ihr Passwort-Datenbank, ist es vernünftig, anzunehmen, daß Sie entweder haben oder bekommen können Sie Ihre geheimen, versteckten Salz.

    Die erste Regel der Sicherheit ist immer zu übernehmen und planen für das Schlimmste.
    Sollten Sie eine Salz, im Idealfall einen zufälligen salt für jeden user? Sicher, es ist
    definitiv eine gute Praxis, und zumindest können Sie
    eindeutig machen zwei Benutzer mit dem gleichen Passwort. Aber in diesen Tagen,
    Salze allein kann nicht mehr speichern, Sie von einer person, die bereit sind, zu verbringen
    paar tausend Dollar auf der video-Karte-hardware, und wenn Sie denken, Sie
    können, sind Sie in Schwierigkeiten.

    InformationsquelleAutor der Antwort DOK

  3. 11

    Dies ist, was Sie tun möchte:

    OurKey.SetValue("Password", StringEncryptor.EncryptString(textBoxPassword.Text));
OurKey.GetValue("Password", StringEncryptor.DecryptString(textBoxPassword.Text));

    Können Sie, dass mit diesem die folgenden Klassen.
    Diese Klasse ist eine generische Klasse ist der client-Endpunkt. Es ermöglicht IOC von verschiedenen Verschlüsselungsalgorithmen mit Ninject.

    public class StringEncryptor
{
    private static IKernel _kernel;

    static StringEncryptor()
    {
        _kernel = new StandardKernel(new EncryptionModule());
    }

    public static string EncryptString(string plainText)
    {
        return _kernel.Get<IStringEncryptor>().EncryptString(plainText);
    }

    public static string DecryptString(string encryptedText)
    {
        return _kernel.Get<IStringEncryptor>().DecryptString(encryptedText);
    }
}

    Diese nächste Klasse ist die ninject-Klasse, die erlaubt, Sie zu injizieren, die verschiedenen algorithmen:

    public class EncryptionModule : StandardModule
{
    public override void Load()
    {
        Bind<IStringEncryptor>().To<TripleDESStringEncryptor>();
    }
}

    Dies ist die Schnittstelle, die jeder Algorithmus implementiert werden muss, der zum verschlüsseln/entschlüsseln von strings:

    public interface IStringEncryptor
{
    string EncryptString(string plainText);
    string DecryptString(string encryptedText);
}

    Dies ist eine Implementierung unter Verwendung des TripleDES-Algorithmus:

    public class TripleDESStringEncryptor : IStringEncryptor
{
    private byte[] _key;
    private byte[] _iv;
    private TripleDESCryptoServiceProvider _provider;

    public TripleDESStringEncryptor()
    {
        _key = System.Text.ASCIIEncoding.ASCII.GetBytes("GSYAHAGCBDUUADIADKOPAAAW");
        _iv = System.Text.ASCIIEncoding.ASCII.GetBytes("USAZBGAW");
        _provider = new TripleDESCryptoServiceProvider();
    }

    #region IStringEncryptor Members

    public string EncryptString(string plainText)
    {
        return Transform(plainText, _provider.CreateEncryptor(_key, _iv));
    }

    public string DecryptString(string encryptedText)
    {
        return Transform(encryptedText, _provider.CreateDecryptor(_key, _iv));
    }

    #endregion

    private string Transform(string text, ICryptoTransform transform)
    {
        if (text == null)
        {
            return null;
        }
        using (MemoryStream stream = new MemoryStream())
        {
            using (CryptoStream cryptoStream = new CryptoStream(stream, transform, CryptoStreamMode.Write))
            {
                byte[] input = Encoding.Default.GetBytes(text);
                cryptoStream.Write(input, 0, input.Length);
                cryptoStream.FlushFinalBlock();

                return Encoding.Default.GetString(stream.ToArray());
            }
        }
    }
}

    Können Sie sehen, meine video-und download-code für diese : http://www.wrightin.gs/2008/11/how-to-encryptdecrypt-sensitive-column-contents-in-nhibernateactive-record-video.html

    InformationsquelleAutor der Antwort Jamie Wright

  4. 10

    Wäre eine option werden, die zum speichern der hash (SHA1, MD5) Passwort anstelle des klar-text-Kennwort, und Wann immer Sie wollen, um zu sehen, wenn das Passwort gut ist, nur vergleichen Sie es mit der hash.

    Wenn Sie brauchen, sichere Lagerung (zum Beispiel für ein Passwort, dass Sie verwenden, um eine Verbindung zu einem Dienst herstellen), dann ist das problem komplizierter.

    Wenn es nur für die Authentifizierung, dann wäre es genug, um die hash.

    InformationsquelleAutor der Antwort Bogdan Maxim

  5. 9

    Wenn Sie wollen in der Lage sein zu entschlüsseln das Passwort, ich denke, der einfachste Weg wäre die Verwendung von DPAPI (Benutzer-store-Modus) zu verschlüsseln/entschlüsseln. Auf diese Weise müssen Sie nicht haben, um Geige mit Schlüssel, speichern Sie Sie irgendwo oder hard-code, der Sie in Ihrem code - in beiden Fällen wird jemand entdecken, die Sie durch die Suche in der Registrierung, Benutzer-Einstellungen oder mit dem Reflektor.

    Anderweitig zu verwenden-hashes SHA1-oder MD5-wie schon andere gesagt haben hier.

    InformationsquelleAutor der Antwort liggett78

  6. 6

    Wie ligget78 sagte, DPAPI wäre ein guter Weg zu gehen für die Speicherung der Passwörter. Überprüfen Sie heraus die ProtectedData Klasse auf MSDN zum Beispiel Nutzung.

    InformationsquelleAutor der Antwort Beau

  7. 6

    Tom Scott bekam es gleich in seiner Berichterstattung, wie (nicht) zum speichern von Passwörtern, auf Computerphile.

    https://www.youtube.com/watch?v=8ZtInClXe1Q

    1. Wenn Sie überhaupt vermeiden, nicht versuchen, Kennwörter zu speichern selbst. Verwenden Sie einen separaten, vorher festgelegten, vertrauenswürdigen Authentifizierung der Benutzer, Plattform (z.B.: OAuth-Anbieter, die Sie Unternehmen Active Directory-Domäne, etc.) statt.

    2. Wenn Sie müssen die Speicherung der Passwörter, nicht befolgen Sie die Anleitung hier. Zumindest nicht, ohne auch Beratung neueren und seriösen Publikationen für Ihre Sprache der Wahl.

    Gibt es sicherlich viele schlaue Leute hier, und wahrscheinlich auch einige gute Anleitung gegeben. Aber die Chancen sind stark, dass durch die Zeit Sie dies Lesen, alle Antworten hier (einschließlich dieser) wird bereits veraltet sein.

    Der richtige Weg, um die Speicherung der Passwörter im Laufe der Zeit ändert.

    Wahrscheinlich häufiger, als manche Menschen ändern Ihre Unterwäsche.

    Alles, was gesagt, hier einige Allgemeine Hinweise, die hoffentlich nützlich bleiben für eine Weile.

    1. Nicht verschlüsselt Passwörter. Alle Speicher-Methode, die ermöglicht die Wiederherstellung von gespeicherten Daten ist von Natur aus unsicher ist, für den Zweck der holding-Passwörter - alle Formen der Verschlüsselung enthalten.

    2. Prozess der Passwörter genau so, wie vom Benutzer eingegeben, während der Erstellung. Alles, was Sie tun, um das Kennwort vor dem senden an den Kryptographie-Modul wird wahrscheinlich nur Schwächen. Tun die folgenden auch noch hinzu, die Komplexität der Passwort-Speicher & verification-Prozess, die dazu führen könnten andere Probleme (vielleicht sogar Sicherheitslücken) die Straße hinunter.

      • Nicht konvertieren, um alle-die groß - /Kleinschreibung.
      • Entfernen Sie nicht die Leerzeichen.
      • Nicht strip inakzeptabel Zeichen oder Zeichenfolgen.
      • Ändern Sie nicht die text-Codierung.
      • Nicht jedes Zeichen oder string-Ersetzungen.
      • Nicht abschneiden, Kennwörter beliebiger Länge.

    3. Ablehnen Erstellung von Passwörtern, die nicht gelagert werden kann, ohne änderung. Die Stärkung der oben genannten. Wenn es einen guten Grund dafür, Ihr Passwort storage-Mechanismus können nicht entsprechend verarbeitet werden, bestimmte Zeichen, Leerzeichen, Zeichenketten-oder Passwort-Längen, dann einen Fehler zurück, und lassen Sie die Benutzer wissen über das system an die Grenzen, also können Sie wiederholen-mit einem Passwort, das passt in Ihnen. Für eine bessere Benutzer-Erfahrung, machen Sie eine Liste dieser Einschränkungen dem Nutzer zugänglich up-front. Gar nicht kümmern, geschweige denn die Mühe, verstecken Sie die Liste von Angreifer - Sie werden es herausfinden leicht genug, auf Ihre eigenen sowieso.

    4. Verwenden Sie eine lange, zufällige und einzigartige Salz für jedes Konto. Keine zwei Konten die Passwörter sollten immer gleich Aussehen, in Speicher, selbst wenn die Passwörter sind eigentlich identisch.
    5. Langsam und kryptographisch starke Hash-algorithmen, die entworfen sind für Verwendung mit Passwörtern. MD5 ist sicher. SHA-1/SHA-2 sind no-go. Aber ich werde mich nicht, Ihnen zu sagen, was Sie sollte verwenden hier entweder. (Siehe die ersten #2 Kugel in diesem Beitrag.)
    6. Durchlaufen, so viel wie Sie tolerieren können. Während Ihr system haben könnte bessere Dinge zu tun, mit seiner Prozessor-Zyklen als hash-Passwörter ganzen Tag, die Leute, die knacken deine Passwörter haben Systeme, die nicht. Machen Sie es so schwer auf Ihnen, wie Sie können, ganz ohne dass es "zu hart" auf Euch.

    Allem...

    Nicht einfach auf niemanden hören hier.

    Gehen, suchen Sie einen seriösen und sehr jüngsten Veröffentlichung auf die richtigen Methoden zur Speicherung von Passwörtern in Ihrer Sprache der Wahl. Tatsächlich, Sie sollten finden mehrere neuere Publikationen, die von mehreren verschiedenen Quellen, die einverstanden sind, bevor du dich auf eine Methode.

    Es ist sehr möglich, dass alles, was jeder hier (mich eingeschlossen) gesagt hat, wurde bereits ersetzt durch bessere Technologien oder erbracht werden unsicher durch die neu entwickelten Angriffsmethoden. Gehen Sie finden etwas, das mehr wohl nicht.

    InformationsquelleAutor der Antwort Iszi

  8. 5

    Wenn es ein Passwort für die Authentifizierung verwendet, die durch Ihre Anwendung, dann hash das Passwort als andere vorschlagen.

    Wenn Sie die Speicherung von Passwörtern für eine externe Ressource, oft werden Sie wollen in der Lage sein, den Benutzer auffordern, für diesen Anmeldeinformationen, und geben Sie ihm die Möglichkeit zu sparen Sie sicher. Bietet Windows die Anmeldeinformationen UI (CredUI) für diesen Zweck gibt es eine Reihe von Proben, die zeigen, wie, dies zu nutzen .NETTO, einschließlich dieses auf MSDN.

    InformationsquelleAutor der Antwort Joe

  9. 4

    Ich habe sah überall für ein gutes Beispiel für die Verschlüsselung und Entschlüsselung-Prozess, aber die meisten waren zu Komplex.

    Jedenfalls gibt es viele Gründe, jemand kann wollen, zu entschlüsseln, die einige text-Werte einschließlich der Kennwörter. Der Grund, warum ich brauchen, um zu entschlüsseln, das Passwort auf der Seite, die ich arbeite aktuell ist, weil Sie wollen sicherstellen, dass, wenn jemand gezwungen wird, sein Passwort zu ändern, wenn es abläuft, wir lassen Sie nicht ändern Sie es mit einem engen Variante mit dem gleichen Kennwort, die Sie in den letzten x Monaten.

    Also schrieb ich einen Prozess vor, das in vereinfachter Weise. Ich hoffe, dieser code ist nützlich, um jemanden. Für alles, was ich weiß, ich kann am Ende mit diesem zu einer anderen Zeit für eine andere Firma/Website.

    public string GenerateAPassKey(string passphrase)
    {
        //Pass Phrase can be any string
        string passPhrase = passphrase;
        //Salt Value can be any string(for simplicity use the same value as used for the pass phrase)
        string saltValue = passphrase;
        //Hash Algorithm can be "SHA1 or MD5"
        string hashAlgorithm = "SHA1";
        //Password Iterations can be any number
        int passwordIterations = 2;
        //Key Size can be 128,192 or 256
        int keySize = 256;
        //Convert Salt passphrase string to a Byte Array
        byte[] saltValueBytes = Encoding.ASCII.GetBytes(saltValue);
        //Using System.Security.Cryptography.PasswordDeriveBytes to create the Key
        PasswordDeriveBytes pdb = new PasswordDeriveBytes(passPhrase, saltValueBytes, hashAlgorithm, passwordIterations);
        //When creating a Key Byte array from the base64 string the Key must have 32 dimensions.
        byte[] Key = pdb.GetBytes(keySize / 11);
        String KeyString = Convert.ToBase64String(Key);

        return KeyString;
    }

 //Save the keystring some place like your database and use it to decrypt and encrypt
//any text string or text file etc. Make sure you dont lose it though.

 private static string Encrypt(string plainStr, string KeyString)        
    {            
        RijndaelManaged aesEncryption = new RijndaelManaged();
        aesEncryption.KeySize = 256;
        aesEncryption.BlockSize = 128;
        aesEncryption.Mode = CipherMode.ECB;
        aesEncryption.Padding = PaddingMode.ISO10126;
        byte[] KeyInBytes = Encoding.UTF8.GetBytes(KeyString);
        aesEncryption.Key = KeyInBytes;
        byte[] plainText = ASCIIEncoding.UTF8.GetBytes(plainStr);
        ICryptoTransform crypto = aesEncryption.CreateEncryptor();
        byte[] cipherText = crypto.TransformFinalBlock(plainText, 0, plainText.Length);
        return Convert.ToBase64String(cipherText);
    }

 private static string Decrypt(string encryptedText, string KeyString) 
    {
        RijndaelManaged aesEncryption = new RijndaelManaged(); 
        aesEncryption.KeySize = 256;
        aesEncryption.BlockSize = 128; 
        aesEncryption.Mode = CipherMode.ECB;
        aesEncryption.Padding = PaddingMode.ISO10126;
        byte[] KeyInBytes = Encoding.UTF8.GetBytes(KeyString);
        aesEncryption.Key = KeyInBytes;
        ICryptoTransform decrypto = aesEncryption.CreateDecryptor(); 
        byte[] encryptedBytes = Convert.FromBase64CharArray(encryptedText.ToCharArray(), 0, encryptedText.Length); 
        return ASCIIEncoding.UTF8.GetString(decrypto.TransformFinalBlock(encryptedBytes, 0, encryptedBytes.Length)); 
    }

 String KeyString = GenerateAPassKey("PassKey");
 String EncryptedPassword = Encrypt("25Characterlengthpassword!", KeyString);
 String DecryptedPassword = Decrypt(EncryptedPassword, KeyString);

    InformationsquelleAutor der Antwort Deathstalker

  10. 1

    Wenn Sie mehr benötigen, zum Beispiel die Sicherung einer Verbindungszeichenfolge (zur Verbindung zu einer Datenbank), überprüfen Sie diese Artikelwie es bietet die beste "option" für diese.

    Oli ' s Antwort ist auch gut, da es zeigt, wie Sie erstellen einen Hashwert für die Zeichenfolge.

    InformationsquelleAutor der Antwort Bogdan Maxim

  11. 0

    ..NET bietet cryptographics Dienstleistungen, die in der Klasse enthalten in der
    System.Sicherheit.Der Kryptografie-namespace.

    InformationsquelleAutor der Antwort osp70

  12. -1

    Anstatt zu verschlüsseln/entschlüsseln, sollten Sie das Paßwort durch eine Hash-Algorithmus md5/sha512, oder ähnliches. Was Sie idealerweise zu tun ist hash des Kennworts und speichern der hash -, dann, wenn das Passwort benötigt wird, können Sie hash der Eingabe und vergleichen Sie die Einträge. Ein Passwort wird dann nicht "entschlüsselt", werden einfach gehasht und dann verglichen.

    InformationsquelleAutor der Antwort Jeremy B.

Schreibe einen Kommentar