Wie einfach das Salz eines Passwortes in einer C# windows form-Anwendung?

Wie kann ich leicht Salzen ein Passwort aus einem Textfeld.Text?

Gibt es einige Bauten, die in der Zauberei in der .NET framework?

InformationsquelleAutor Sergio Tapia | 2010-06-17
  1. 11

    Hatten wir eine große Diskussion vor einer Weile über best practices beim Salzen ein Passwort, die Sie vielleicht finden einige gute Ideen:

    Salzen Sie Ihr Passwort: Best Practices?

    Habe ich herausgefunden, dass eine der einfachsten, während immer noch ziemlich sichern, ist die Verwendung einer GUID als Ihr Salz. Es ist zufällig, lang genug. Am besten funktioniert es, wenn man auch die string-Formatierung der GUID (die '{' und '-' Zeichen), aber Sie nicht haben, um.

    Denken Sie daran, dass das Salz hat sich eindeutig pro Element gesalzen und das werden die meisten sicher sind, sollten Sie die Verwendung eines kryptographisch sicheren Zufallszahlen-generator. Denken Sie auch daran, dass Sie speichern Sie Ihre salt zusammen mit dem Passwort, oder Sie werden nicht in der Lage zu überprüfen, die plaintext-version gegen die Hash-version! Speichern Sie die Salz-un-verschlüsselt, wenn Sie mögen; ich in der Regel legen Sie es in ein Feld auf der gleichen Tabelle wie das Passwort. Der Zweck des Salzes ist nicht versteckt bleiben, es geht um rainbow-Tabellen erschweren (hoffentlich gar nicht), um zu berechnen, in einer fristgerechten Weise.

    Hier ein kurzer snippet, das funktioniert in C#:

    RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
byte[] buffer = new byte[1024];

rng.GetBytes(buffer);
string salt = BitConverter.ToString(buffer);
var saltedPassword = password + salt;

    ... oder

    var salt = Guid.NewGuid().ToString();
var saltedPassword = password + salt;
    • Wenn Sie generate random Salze, denken Sie daran, halten Sie von Ihnen halten, wie Sie Sie brauchen, um zu entschlüsseln, auf dem Weg nach draußen.
    • guter Punkt. Ich hatte ursprünglich ein Satz, der Wirkung, aber die haben anscheinend bearbeiteten Sie es aus. Ich lege es wieder an.
    • Keine Sorge, +1 für die gute Erklärung 🙂
    InformationsquelleAutor Randolpho
  2. 4

    Nehme ich an, Sie zu Fragen für einen Benutzername zusammen mit dem Passwort?

    In einigen Systemen Benutzername verwendet wird als Salz. (Und ich denke, es ist OK zu tun.)
    Andernfalls werden Sie brauchen, um Ihre Salz irgendwo gespeichert und abgerufen, bevor hashing (im Fall des random-erstellt Salz) oder haben einen Algorithmus wird wieder das gleiche Salz für den gleichen Benutzer (und es wird nicht besser, die nur mit einem einfachen Benutzernamen).

    Persönlich verwenden Sie den folgenden code:

    byte[] GetSaltedPasswordHash(string username, string password)
{
    byte[] pwdBytes = Encoding.UTF8.GetBytes(password);
    //byte[] salt = BitConverter.GetBytes(userId);
    byte[] salt = Encoding.UTF8.GetBytes(username);
    byte[] saltedPassword = new byte[pwdBytes.Length + salt.Length];

    Buffer.BlockCopy(pwdBytes, 0, saltedPassword, 0, pwdBytes.Length);
    Buffer.BlockCopy(salt, 0, saltedPassword, pwdBytes.Length, salt.Length);

    SHA1 sha = SHA1.Create();

    return sha.ComputeHash(saltedPassword);
}
    InformationsquelleAutor Regent
  3. 2

    Hier ein netter Artikel und ein weiteres (das ist mehr angepasst ASP.NET Anwendungen).

    • Der zweite Artikel ist besser, da Sie es ermöglicht, eine beliebige Salz Größe. Der erste empfiehlt eine 4-byte-salt; definitiv viel zu klein. Salze sollten lang sein. Ich bin nicht kritisieren Sie, nur dass dieses hier für die Nachwelt. 🙂
    InformationsquelleAutor Darin Dimitrov
  4. 0

    Es ist keine Zauberei, ein Salz ist einfach einige zufällige text angehängt, um ein Passwort zu besiegen Wörterbuch-Attacken - stellen Sie sich Ihre eigene jibberish.

    InformationsquelleAutor Adam Houldsworth
  5. 0

    Haben Sie einen Blick auf die hmac Funktionen wie hmacdm5, hmacsha1 oder hmacsha256.

    Blick auf die System.Sicherheit.Kryptographie namespace, zu.

    • Ich würde gerne hören, über das problem ... thx
    • Ich auch. :S Warum wäre das downvoted?
    • Vielleicht, weil seine nicht, hab viel zu tun mit Salze direkt? Sicher nicht...
    InformationsquelleAutor tanascius
Schreibe einen Kommentar