跟Microsoft.AspNet.Identity学使用哈希加盐法加密用户密码
什么是哈希加盐法?
废话少说:对于MD5这种加密算法,同样的密码每次加密后得到的密文是一样的,所以黑客可以利用已知的密码库(彩虹库)对目标数据库密文进行对比进行攻击。
怎样解决:哈希加盐法,以下是网上给出的方案。http://blog.csdn.net/cryeyes/article/details/5375810
方案一:将用户密码与固定salt字串进行拼接,再进行Hash计算得到密文。
此方案的缺点很明显,通过密码库进行对比,直接可获得很多[用户密码 + salt]的字串,即可推断出salt字串,改进算法,获得用户密码。
方案二:先为用户生成随机salt字串,进行方案一的计算,然后将随机salt字串,作为一列存储在用户表中进行登录验证。
此方案可以明显改进方案一,因为salt不重复,所以加大破解难度。
AspNet.Identity 是怎么做的?
上反编译神器,反编译Dll --> Microsoft.AspNet.Identity.Core.dll,先定位到创建用户方法CreateAsync(TUser user, string password)
再往下看,已经找到加密方法了,GOGOGO。
最后会到这里,核心加密的地方了,如图:
这里Rfc2898DeriveBytes的构造方法的第二个参数的意义是随机生成16位的Salt,第一个参数构造为一个hmacsha1,为后面的hash做基础数据。
第三个参数是什么意思呢?在后面的方法得到验证是将密码进行多少次hash,1000次……
具体算法太复杂,伤不起,也没必要看了,关键是了解方法,总结一下流程:
1.随机生成一个16位的salt字节数组。
2.通过计算密码与salt得到32位密文。
3.组建一个49位字节数组,第一位固定为0x00,2 - 17位为salt,18 - 49位为密文。
4.对字节数组进行Base64加密得到最终密文。
现在是不是你也可以使用哈希加盐法设计一个自己的用户密码加密算法了呢?
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。