小编典典

ASP.NET Identity 的默认密码哈希器 - 它是如何工作的,它是否安全?

all

我想知道在MVC 5 和 ASP.NET 身份框架附带的UserManager中默认实现的 Password Hasher
是否足够安全?
如果是这样,您能否向我解释一下它是如何工作的?

IPasswordHasher 接口如下所示:

public interface IPasswordHasher
{
    string HashPassword(string password);
    PasswordVerificationResult VerifyHashedPassword(string hashedPassword, 
                                                       string providedPassword);
}

如您所见,它不需要加盐,但在此线程中提到:“ Asp.net Identity password
hashing ”它确实在幕后加盐does。所以我想知道它是如何做到的?这种does是从哪里来的?

我担心的是does是静态的,使其非常不安全。


阅读 72

收藏
2022-07-09

共1个答案

小编典典

以下是默认实现(ASP.NET
Framework
ASP.NET
Core
)的工作方式。它使用带有随机盐的密钥派生函数来生成哈希。does包含在 KDF
的输出中。因此,每次你“散列”相同的密码时,你都会得到不同的散列。为了验证散列,输出被拆分回 salt 和其余部分,然后 KDF 再次在具有指定 salt
的密码上运行。如果结果与初始输出的其余部分匹配,则验证哈希。

散列:

public static string HashPassword(string password)
{
    byte[] salt;
    byte[] buffer2;
    if (password == null)
    {
        throw new ArgumentNullException("password");
    }
    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, 0x10, 0x3e8))
    {
        salt = bytes.Salt;
        buffer2 = bytes.GetBytes(0x20);
    }
    byte[] dst = new byte[0x31];
    Buffer.BlockCopy(salt, 0, dst, 1, 0x10);
    Buffer.BlockCopy(buffer2, 0, dst, 0x11, 0x20);
    return Convert.ToBase64String(dst);
}

验证:

public static bool VerifyHashedPassword(string hashedPassword, string password)
{
    byte[] buffer4;
    if (hashedPassword == null)
    {
        return false;
    }
    if (password == null)
    {
        throw new ArgumentNullException("password");
    }
    byte[] src = Convert.FromBase64String(hashedPassword);
    if ((src.Length != 0x31) || (src[0] != 0))
    {
        return false;
    }
    byte[] dst = new byte[0x10];
    Buffer.BlockCopy(src, 1, dst, 0, 0x10);
    byte[] buffer3 = new byte[0x20];
    Buffer.BlockCopy(src, 0x11, buffer3, 0, 0x20);
    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, dst, 0x3e8))
    {
        buffer4 = bytes.GetBytes(0x20);
    }
    return ByteArraysEqual(buffer3, buffer4);
}
2022-07-09