有沒有內置函數來在.NET中哈希密碼？

Question

我看到這個問題Encrypting/Hashing plain text passwords in database

我知道我不應該做md5（「鹽」+密碼）;我在python中看到了一個解決方案的實現。

是否有一個.NET內置函數與參數我可以使用，而不是寫我自己的？

Answer 1

退房FormsAuthentication.HashPasswordForStoringInConfigFile

string hashMD5 = FormsAuthentication.HashPasswordForStoringInConfigFile(Pass + Salt, "MD5"); 

string hashSHA1 = FormsAuthentication.HashPasswordForStoringInConfigFile(Pass + Salt, "SHA1"); 

Answer 2

我不認爲有一個單一的功能，但你可以在幾行做到這一點（這裏使用SHA512，但也有其他選項）：

using (var sha = new SHA512CryptoServiceProvider()) 
{ 
    byte[] hashed = sha.ComputeHash(Encoding.Default.GetBytes(saltedPassword)); 
    string output = Convert.ToBase64String(hashed); 
} 

確保您使用的加密之一。 ..類以確保使用更安全的算法。

Answer 3

不，你不應該使用MD5密碼散列!!!!!

不好!!!!!您也不應該通過單個哈希傳遞（md5或其他）執行salt +密碼！壞！！！！

也不應該做鹽+哈希密碼多次（每PBKDF2 unles XOR每個散列通的！壞!!!!

使用此API：https://sourceforge.net/projects/pwdtknet好!!!!!

Answer 4

是的，.NET Framework 2.0及更高版本（現在包括4.5版本）在一個名爲Rfc2898DeriveBytes的類中實現了PBKDF2（也稱爲RFC2898和PKCS＃5v2），從技術上講它實現了PBKDF2-HMAC-SHA-1，與PBKDF2-HMAC-SHA-512一樣好，對於密碼散列仍然合理。

PBKDF2參數：

• HMAC不是這個類的參數 - HMAC-SHA-1在此實現中已修復，因此您不必擔心它。
• 密碼是用戶的密碼。
  • 明文在散列後當然會被丟棄。
• salt是一個足夠長度的密碼隨機每行字符串（例如至少8個字節）。每個密碼都需要它自己的隨機鹽，所以如果300個用戶都選擇「P @ $$ w0rd」作爲他們的密碼，則散列結果都是不同的。
  • 鹽以明文形式存儲在數據庫中;您下一次生成密碼哈希時需要它，以查看結果是否相同。
• 迭代次數是你要循環的次數。對於任何臺式機或服務器硬件，從數萬開始直到它受傷。
  • 迭代的次數也應該以明文形式存儲在數據庫中，以便稍後改變這個數字是微不足道的（即，隨着處理能力的增加使其更高）。
• .GetBytes是輸入長度，你猜對了，字節。在這種情況下，你應該使用20。
  • 原因（高級討論）：對於密碼散列，這應該永遠不會超過本機散列大小，因爲攻擊者不需要生成更多的內容（並且生成本地散列大小+ 1個字節需要兩倍的時間，因爲它會爲輸出長度中的每個本機散列大小量啓動一組全新的迭代，並將結果連接在一起 - 攻擊者可以安全地假設，如果第一個輸出匹配，它將全部匹配，並且100％確定如果第一個塊失敗，這不是一個匹配）。由於此類僅限於SHA-1，因此本機散列大小爲20個字節。如果您使用另一個具有該選項的庫，SHA-256是32字節，SHA-512是64字節。

注意HMACSHA512 versus Rfc2898DeriveBytes for password hash包含我還沒有詳細地分析某些示例.NET代碼，但也可以是一個有用的起點。