암호화 로그인시 해시 된 & 암호가있는 암호 비교

Question

사용자 등록시 내 데이터베이스에 저장할 암호/해시 암호를 제공하는 간단한 암호 암호화 기가 있습니다. 코드 : 사용자가 로그인 할 때

public static string GenerateHashWithSalt(string enteredPassword, string enteredSalt) 
    { 
     string sHashWithSalt = enteredPassword + enteredSalt; 
     byte[] saltedHashBytes = Encoding.UTF8.GetBytes(sHashWithSalt); 
     System.Security.Cryptography.HashAlgorithm algorithm = new System.Security.Cryptography.SHA256Managed(); 
     byte[] hash = algorithm.ComputeHash(saltedHashBytes); 
     return Convert.ToBase64String(hash); 
    } 

, 나는 단순히 다시이 코드를 통해 입력 한 암호를 넣고 그것이 나에게 다른 결과를 줄 것 같은 비교할 수 없습니다 추정. 간단히은 저장된 비밀번호와 입력 된 로그인 비밀번호를 비교할 수 있습니까?

Answer 1

계정을 만들 때 암호가 제공되는 GenerateHashWithSalt(password, salt);으로 채워지고 소금이 임의로 생성되는 password hash 열이 있습니다. 소금은 암호 해시와 함께 저장됩니다.

그런 다음 사용자 이름/비밀번호가 유효한지 확인해야하는 경우 storedpassword == GenerateHashWithSalt(providedPassword, saltFromDb) 또는 일부를 사용하십시오. 그들은 같은 나올 경우에, 당신은, 어쩌면이 도움이 될 것입니다 당신이 필요로하는 모든 암호를 비교하는 방법 인 경우가 올바른 암호

Answer 2

를 입력 알고 encryption/decryption

Answer 3

가 제대로이 작업을 수행하는 몇 가지 단계가 있습니다 . 사용자가 제공

1. 암호 :

   먼저 당신은 3 가지가 필요합니다. (p)

2. 생성 한 임의의 문자 스트링. 이것은
3. 암호화 해시 함수 (우리가 의를 호출 것) 소금으로 알려져있다 (물론 호출 시간 (X)) 우리가 시간을 계산할 수 있습니다 위의 세 가지로

'우리가 저장하고 싶은 것입니다 : 시간' = 시간 (의 + 페이지)

을 사용자의 암호는 절대로 저장되지 않습니다. 데이터베이스에는 및 h '만 저장합니다.

소금을 암호화 할 필요가 없습니다. 데이터베이스의 모든 암호에 대해 고유해야합니다.

사용자가 나중에 다시 로그인하려고하면 데이터베이스에 저장된 원래 소금을 사용하여 h '을 다시 계산합니다. 새로운 h '가 데이터베이스에있는 것과 동일한 경우 사용자의 암호는 동일합니다.

Answer 4

솔트 해시 암호와 동일한 스키마가 작동하는 방법에 대한 빠른 자습서를 작성했습니다. 그러나 질문을한다는 사실에 근거하여 나는 이라는 보안 문자를 사용하여 보안 로그온 프로세스를 보장하는 첫 단계 일뿐입니다.. 초보자 인 경우 보안 전문가를 고용하거나 자신의 솔루션을 롤업하려고 시도하지 않고 기성품을 구매해야합니다.시스템을 안전하지 않게 만드는 명백한 실수를하는 방법의 수는 이라고 엄청납니다.입니다.

http://blogs.msdn.com/b/ericlippert/archive/tags/salt/