我们数据库的密码该以什么形式存储?
在实际应用程序中,我们通常在数据库中存储加密过的口令。假设我们的数据库被非法下载了,如果我们先前用的是非对称加密算法(MD5、RSA…),那么攻击者要破解密码是要付出一定代价的,因为要破译(Break)非对称加密算法的密文最捷径的也是最笨的方法就是穷举(Brute-force)!如果我们用的是对称加密算法加密口令的,一旦攻击者获得了加密密钥,他就可以解密在数据库中存储的所有口令。因此,最好的方法是存储口令的单向散列(将这个口令散列和一个 salt 值组合在一起):
我的问题是 要验证用户密码的时候每次随机产生的 salt 值都是不同的,再加密一下密码就跟数据库里的不同了,那不是每次验证都失败了?
public static string GenerateSalt(int size)
{
RNGCryptoServiceProvider crypto = new RNGCryptoServiceProvider();
byte[] buff = new byte[size];
crypto.GetBytes(buff);
return Convert.ToBase64String(buff);
}
public static string GeneratePwdHash(string pwd, string salt)
{
string saltpwd = string.Concat(pwd, salt);
string password = FormsAuthentication.HashPasswordForStoringInConfigFile(saltpwd, "SHA1");
return password;
}
{
RNGCryptoServiceProvider crypto = new RNGCryptoServiceProvider();
byte[] buff = new byte[size];
crypto.GetBytes(buff);
return Convert.ToBase64String(buff);
}
public static string GeneratePwdHash(string pwd, string salt)
{
string saltpwd = string.Concat(pwd, salt);
string password = FormsAuthentication.HashPasswordForStoringInConfigFile(saltpwd, "SHA1");
return password;
}
我的问题是 要验证用户密码的时候每次随机产生的 salt 值都是不同的,再加密一下密码就跟数据库里的不同了,那不是每次验证都失败了?
