搜索

一个简单的方式搞定密码的加盐哈希与验证

DotNetCore实战

共 2449字,需浏览 5分钟

 ·

2021-09-15 01:17

过去一段时间来, 众多的网站遭遇用户密码数据库泄露事件。层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家 “暴库”,全部遭殃。

单向加密

一个简单的方案是将明文密码做单向哈希后存储。

单向哈希算法有一个特性,无法通过哈希后的摘要(digest) 恢复原始数据,这也是 “单向” 二字的来源,这一点和所有的加密算法都不同。常用的单向哈希算法包括 SHA-256, SHA-1, MD5 等。例如,对密码“passwordhunter” 进行 SHA-256 哈希后的摘要 (digest) 如下:

“bbed833d2c7805c4bf039b140bec7e7452125a04efa9e0b296395a9b95c2d44c”

可能是 “单向” 二字有误导性,也可能是上面那串数字唬人,不少人误以为这种方式很可靠, 其实不然。

单向哈希有两个特性:

1)从同一个密码进行单向哈希,得到的总是唯一确定的摘要

2)计算速度快。随着技术进步,尤其是显卡在高性能计算中的普及,一秒钟能够完成数十亿次单向哈希计算

结合上面两个特点,考虑到多数人所使用的密码为常见的组合,攻击者可以将所有密码的常见组合进行单向哈希,得到一个摘要组合, 然后与数据库中的摘要进行比对即可获得对应的密码。这个摘要组合也被称为 rainbow table(彩虹表)。

更糟糕的是,一个攻击者只要建立上述的rainbow table,可以匹配所有的密码数据库。仍然等同于一家 “暴库”,全部遭殃。

加盐哈希

将明文密码混入 “随机因素 “,然后进行单向哈希后存储,也就是所谓的”Salted Hash(加盐哈希)”。

这个方式相比上面的方案,最大的好处是针对每一个数据库中的密码,都需要建立一个完整的 rainbow table 进行匹配。因为两个同样使用 “passwordhunter”作为密码的账户,在数据库中存储的摘要完全不同。

在 C# 中实现加盐哈希

早在2016年,MD5 作为哈希算法已经不可靠,可以人为制造碰撞,于是本文采用了 SHA256 作为哈希算法。同时在哈希前生成了一个 Guid 作为盐和哈希值拼接在一起:

using System;using System.Security.Cryptography;using System.Text;
public class PasswordHasher{    public string HashPassword(string password)    {        var rnd = Guid.NewGuid().ToString("N").Substring(10);        return BuildHash(rnd, password);    }
    public bool CheckPassword(string password, string hash)    {        if (string.IsNullOrWhiteSpace(hash))        {            return false;        }
        var items = hash.Split('|');        if (items.Length != 2)        {            return false;        }
        var rnd = items[0];        return hash == BuildHash(rnd, password);    }
    private string BuildHash(string rnd, string password)    {        var key = rnd + "|" + password.Trim();        var hash = Hash(key);        return rnd + "|" + hash;    }
    private string Hash(string input)    {        using (var sha = new SHA256CryptoServiceProvider())        {            var bytes = Encoding.UTF8.GetBytes(input);            bytes = sha.ComputeHash(bytes);            return Convert.ToBase64String(bytes);        }    }}


生成加盐哈希值:

//生成加盐哈希var hasher = new PasswordHasher();var pwd = hasher.HashPassword("123456");Console.WriteLine("加盐哈希值为:{0}",pwd);


校验密码是否匹配:

//校验密码是否匹配var hasher = new PasswordHasher();var hash = "89455bb276f037799fea1d|1rcfw+tSKhpG7zuW7Sm6SuMgjafAwsMg76OlyFkXLm8=";var pwd = "123456";if (hasher.CheckPassword(pwd, hash)){    Console.WriteLine("密码正确");}else{    Console.WriteLine("密码不匹配");}




浏览 7
点赞
评论
收藏
分享

手机扫一扫分享

举报
评论
图片
表情
推荐
Superstruct验证 Javascript 中的数据的简单方式
Superstruct 是一个简单和可组合的方式来验证 Javascript 中的数据。它的类型注释
Superstruct验证 Javascript 中的数据的简单方式
0
Superstruct验证 Javascript 中的数据的简单方式
Superstruct是一个简单和可组合的方式来验证Javascript中的数据。它的类型注释API受Typescript、Flow、Go和GraphQL的启发,令用户有熟悉感且易于理解。不过,Sup
Superstruct验证 Javascript 中的数据的简单方式
0
最简单的方式
《最简单的方式: 之实践篇》是一本简单有趣的心灵读物。它为如何解除困扰、如何减轻生活压力提供了令人耳
最简单的方式
0
最简单的方式
最简单的方式
0
推荐MyBatis的一个简单配置搞定加解密!
业余草
0
一个简单的故事
一个简单的故事
0
一个简单的故事
阿格农(1888—1970)是以色列最杰出的现代希伯来语小说家,1966年荣获诺贝尔文学奖。《一个简
一个简单的故事
0
一个简单的Python暴力破解网站登录密码脚本
马哥Linux运维
0
盘点一个函数参数传递方式的简单题目
IT共享之家
0
最简单的方式 The Easiest Way
最简单的方式 The Easiest Way
0
点赞
评论
收藏
分享

手机扫一扫分享

举报