我想知道,MVC 5和ASP.NET Identity Framework随附的UserManager中默认实现的密码哈希器是否足够安全?如果可以的话,如果您能向我解释一下它是如何工作的?
IPasswordHasher界面如下所示:
public interface IPasswordHasher { string HashPassword(string password); PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword); }
如您所见,它并不需要花费太多精力,但是在该线程中提到了这一点:“ Asp.net身份密码哈希 ”确实在后台对其添加了盐。所以我想知道它是如何做到的?这种盐从哪里来?
我担心的是盐是静态的,使其非常不安全。
这是默认实现的工作方式。它使用带有随机盐的键派生函数来生成哈希。盐包含在KDF的输出中。因此,每次您“哈希”相同的密码时,您将获得不同的哈希值。为了验证哈希,将输出拆分回salt和其余部分,然后使用指定的salt对密码再次运行KDF。如果结果与其余初始输出匹配,则验证哈希。
散列:
public static string HashPassword(string password) { byte[] salt; byte[] buffer2; if (password == null) { throw new ArgumentNullException("password"); } using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, 0x10, 0x3e8)) { salt = bytes.Salt; buffer2 = bytes.GetBytes(0x20); } byte[] dst = new byte[0x31]; Buffer.BlockCopy(salt, 0, dst, 1, 0x10); Buffer.BlockCopy(buffer2, 0, dst, 0x11, 0x20); return Convert.ToBase64String(dst); }
验证中:
public static bool VerifyHashedPassword(string hashedPassword, string password) { byte[] buffer4; if (hashedPassword == null) { return false; } if (password == null) { throw new ArgumentNullException("password"); } byte[] src = Convert.FromBase64String(hashedPassword); if ((src.Length != 0x31) || (src[0] != 0)) { return false; } byte[] dst = new byte[0x10]; Buffer.BlockCopy(src, 1, dst, 0, 0x10); byte[] buffer3 = new byte[0x20]; Buffer.BlockCopy(src, 0x11, buffer3, 0, 0x20); using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, dst, 0x3e8)) { buffer4 = bytes.GetBytes(0x20); } return ByteArraysEqual(buffer3, buffer4); }
