C#存储用于注册表的盐,以便在登录时使用
。
在C#开发中,盐(salt)是一种用于增加密码安全性的技术。盐是一个随机生成的字符串,与用户的密码进行组合后进行哈希运算,以增加密码的复杂度和安全性。在存储用户密码时,将盐和哈希后的密码一起存储在注册表中,以便在用户登录时进行验证。
盐的作用是防止彩虹表攻击和暴力破解密码。彩虹表是一种预先计算出的密码哈希值与明文密码之间的映射表,通过对比哈希值,可以快速破解密码。使用盐可以使每个用户的密码哈希值都不同,即使密码相同,哈希值也不同,从而有效地防止彩虹表攻击。
在登录过程中,系统会从注册表中获取用户的盐和哈希密码,然后将用户输入的密码与盐进行组合,再进行哈希运算,最后与注册表中的哈希密码进行比对。如果比对成功,则表示用户输入的密码正确,允许用户登录。
C#中可以使用System.Security.Cryptography命名空间下的类来生成盐并进行哈希运算,例如使用Rfc2898DeriveBytes类来生成盐,并使用SHA256Managed类进行哈希运算。
以下是一个示例代码:
using System;
using System.Security.Cryptography;
public class SaltedHash
{
public static string GenerateSalt()
{
byte[] saltBytes = new byte[16];
using (var rng = new RNGCryptoServiceProvider())
{
rng.GetBytes(saltBytes);
}
return Convert.ToBase64String(saltBytes);
}
public static string ComputeHash(string password, string salt)
{
byte[] passwordBytes = System.Text.Encoding.UTF8.GetBytes(password);
byte[] saltBytes = Convert.FromBase64String(salt);
using (var pbkdf2 = new Rfc2898DeriveBytes(passwordBytes, saltBytes, 10000))
{
byte[] hashBytes = pbkdf2.GetBytes(32);
return Convert.ToBase64String(hashBytes);
}
}
public static bool VerifyPassword(string password, string salt, string hash)
{
string computedHash = ComputeHash(password, salt);
return hash == computedHash;
}
}
public class Program
{
public static void Main()
{
string password = "password123";
string salt = SaltedHash.GenerateSalt();
string hash = SaltedHash.ComputeHash(password, salt);
Console.WriteLine("Salt: " + salt);
Console.WriteLine("Hash: " + hash);
bool isPasswordCorrect = SaltedHash.VerifyPassword(password, salt, hash);
Console.WriteLine("Is password correct? " + isPasswordCorrect);
}
}在上述示例中,GenerateSalt()方法用于生成盐,ComputeHash()方法用于计算密码的哈希值,VerifyPassword()方法用于验证密码是否正确。Main()方法演示了如何使用这些方法。
对于C#存储用于注册表的盐,以便在登录时使用的场景,腾讯云提供了多种云计算产品和服务,例如:
- 腾讯云数据库(TencentDB):用于存储用户信息和密码哈希值的数据库服务。腾讯云数据库支持多种数据库引擎,如MySQL、SQL Server等,可以根据具体需求选择适合的数据库类型。
- 腾讯云密钥管理系统(Key Management System,KMS):用于管理和保护密码盐的安全服务。腾讯云KMS提供了密钥生成、存储、加密和解密等功能,可以帮助保护密码盐的安全性。
- 腾讯云服务器(CVM):用于部署和运行C#应用程序的云服务器。腾讯云CVM提供了高性能的计算资源和稳定可靠的网络环境,可以满足C#应用程序的运行需求。
以上是关于C#存储用于注册表的盐的概念、优势、应用场景以及腾讯云相关产品和服务的介绍。希望对您有所帮助!
相关·内容
2回答
我正在阅读有关保护密码的知识,并希望获得有关我的代码是否正确的反馈。我正在尝试将blowfish和crypt()结合使用,以防止任何人解密密码。还有,我有一个问题。当我存储密码时,我假设我还必须存储变量$string,以便在用户登录时再次使用它来验证用户,对吗?
function unique_md5() {
mt_srand(microtime(true)*100000 + memory_get_usage(true));
return md5(uniqid(mt_rand(), true));
}
//unique_md5 returns a random 16 characte
浏览 6提问于2012-09-03得票数 0
回答已采纳
4回答
加盐的口令散列
、、、
我正在尝试为web应用程序创建一个登录系统,但我被困在几个点上。我将密码存储在我的数据库中,使用带有128位随机盐的sha2-512散列。
但是,我目前使用html表单将密码以纯文本形式发布到我的应用程序中,无论是在创建帐户时还是在用户登录时。我知道这是不对的。
我需要在客户端对密码进行哈希处理吗?如果是这样,我该如何考虑当前生成并存储在数据库中的盐?
注意:我这样做是为了学习不要在生产系统中使用
浏览 2提问于2011-10-13得票数 4
回答已采纳
1回答
我想知道如何重新启动计算机,一旦重新启动,它将使用给定的凭据、通过命令行命令或可能使用其他方法(可能是C#代码)登录。
为了给出上下文,我需要在Windows XP、Vista和Windows 7上远程运行它,并且我正在尝试形成一个大的命令列表,以便在命令行中以连续的顺序提供给psexec。在给定的时间点上,可能需要重新启动并登录,然后重新开始执行命令,我想知道如何才能做到这一点。我知道PsShutdown是存在的,它可以处理重启,但是登录如何呢?我如何知道机器什么时候完全重启,这样我才能发出登录命令?C#代码也可以工作,但这并不可取。
所以主要的问题是:如何重启一台机器(我已经差不多知道了)
浏览 2提问于2010-06-26得票数 1
回答已采纳
我想在sqlite数据库中存储登录名和密码。这个数据库是用SQLCipher库加密的。但是加密数据库的密码是另外一个问题。此密码存储在应用程序代码中。登录名和密码由用户提供,用于登录应用程序。在C#中有SHA256类。如果我使用这个类就足够了吗?或者更确切地说,我应该使用散列和盐或其他方法?
谢谢
浏览 0提问于2011-11-22得票数 5
回答已采纳
1回答
我知道在windows 8中,某些应用程序在锁定屏幕上有一个通知,一些指纹阅读器可以将消息添加到windows 7和更旧机器的登录屏幕中。程序是否可以使用c#在登录屏幕上显示一条消息?如果是这样的话,这个消息会是动态的吗?
浏览 3提问于2014-02-16得票数 3
2回答
在将用户密码存储在数据库中之前,我需要对用户密码进行处理,以便在数据库安全受到破坏时,黑客不会直接获得纯文本密码。
是否有允许在DB存储之前处理这些密码的java库&也允许在用户尝试登录时进行性能匹配检查。
浏览 5提问于2013-10-30得票数 0
回答已采纳
4回答
我在我的.NET (C#)客户机中使用.NET(C#)客户端使用随机生成的salt (Blowfish)对用户的密码进行散列。
然后,我继续将散列密码发送到我的远程服务器,该密码存储在MySQL数据库中。
当我尝试使用相同的纯文本密码登录时,所发送的内容与存储在数据库中的内容之间存在哈希不匹配。(很可能是因为每次换盐)
我不想将未加密的纯文本密码发送到我的PHP端,如果不使用静态盐类,我如何做到这一点?
散列(C#):
string passHash = Crypter.Blowfish.Crypt(Password.Text, Crypter.Blowfish.GenerateSalt())
浏览 9提问于2016-06-10得票数 0
2回答
我有一个注册页面,用户输入密码,所以我散列这个密码,它在数据库中散列
但当我尝试登录时,它给我的密码不匹配,当我回显它时,它不匹配,就像我写了一个新的密码
如何解决这个问题?有人能帮我吗?
寄存器中的cryptpass函数
function cryptPass($input, $rounds = 9)
{
$salt = "";
$saltChars = array_merge(range('A','Z'), range('a','z'), range('0','9'
浏览 4提问于2013-05-19得票数 1
10回答
验证咸散列
、、、
我是C#的新手,这是我在这里的第一个问题,所以我提前为任何失礼表示歉意。
上下文:
当用户注册时,我调用CreateSaltedHash()方法并将用户从文本字段输入的密码传递给它。此方法在将密码存储在“我的用户”表的“密码”列之前先对密码进行盐化和散列。
问题:
当用户尝试登录时,我应该如何验证密码?
如果我再次调用CreateSaltedHash()方法,由于随机盐的存在,它将不匹配。
我应该把盐放在一个单独的栏里吗?在生成咸散列时,应该使用分隔符吗?什么是最安全的方式来验证输入密码的盐渍和哈希密码?
代码:,这是我到目前为止所拥有的。
public class PasswordHash
浏览 1提问于2012-11-15得票数 9
回答已采纳
我将创建一个服务,人们在其中管理游戏服务器,为了管理服务器,我需要管理员密码来运行对服务器的命令。
因此,我需要将密码与服务器ip和管理端口保存在一个数据库中,以便在用户想要对服务器执行某些命令时获得密码并使用它。
我如何才能做到尽可能的安全?我不想将其以纯文本形式保存在数据库中,也不希望在有人获取数据库时,很容易从保存的哈希值中获取密码。
我使用的是ASP.NET MVC3,C#和MySQL作为数据库。
浏览 0提问于2011-11-24得票数 1
回答已采纳
我最近读了一篇有趣的文章,是关于使用"salt“安全地散列用户密码的。(这是,不幸的是,在这篇文章的时候它似乎已经关闭了,所以缓存版本。)
我完全同意这个概念,只是我似乎找不到一种方法来安全地将用户登录存储在本地cookie (或会话)中,因为salt + PBKDF2散列组合每次都是随机进行的。为了更好地理解我的意思,让我从复制C#代码
using System;
using System.Text;
using System.Security.Cryptography;
namespace PasswordHash
{
/// <summary>
//
浏览 0提问于2013-01-07得票数 2
回答已采纳
我有一个在服务器上的PhantomJS中运行的脚本,我需要将密码作为命令行参数传递给该脚本。对于那些不熟悉PhantomJS的人来说,它是一个运行在服务器端的无头webkit浏览器,不需要与客户端进行交互。
为了将密码加载到PhantomJS中的虚拟网页对象的上下文中,需要将其存储在特定网页对象上所包括的javascript文件中。密码文件将只保留足够长的时间登录,并将被删除。我有一个故障安全机制,可以在脚本不再需要该文件后将其删除。我不希望此密码以纯文本形式存储,因此我希望使用AES加密。
密码将使用AES加密存储在我的数据库中。我知道以这种方式存储密码不是最安全的方法,但是脚本需要知道密码
浏览 0提问于2011-11-17得票数 3
回答已采纳
2回答
了解散列系统和算法?
、、、、
我想知道哈希算法是如何工作的,我的意思是,在盐哈希相同的明文生成多个哈希,所以当应用程序存储一个哈希时,用户注册,然后他登录,现在有2个不同的哈希在注册和登录应用程序如何比较这2个哈希?并验证此用户?
浏览 0提问于2018-10-28得票数 1
因此,如果创建了登录/注册系统,以便在用户登录时将用户重定向到另一个仅限成员的页面(member.php),我会将登录信息存储在用户的会话中。
当用户导航到members页面时,在允许他查看内容之前,我希望确保用户名/密码有效,并且用户已有效登录。当用户进入成员页面时,我如何确保他/她是有效登录的,对我来说,它似乎是在使用:
if (!isset($_SESSION['username']))
{
die("You aren't allowed to access this page");
}
可以工作,但是我想确保它的安全性,而且对我来说,它似
浏览 0提问于2011-08-21得票数 0
回答已采纳
3回答
对密码字段进行散列和盐析
、、、
一段时间以来,我一直在讨论如何在数据库中存储密码的问题。这是我第一次使用网络登录创建安全的应用程序,所以我想建立一些良好的实践。
首先,我读到了哈希和盐的内容。看来这个想法是..。
获取散列算法
从用户处获取密码
将“salt”添加到用户的纯文本密码
散列整个密码(包括salt)
将salt存储在db中,以便以后检索它(用于验证PSWD)。
这让我想到..。如果黑客知道您的salt (因为它存储在DB中某个地方,可能是一个名为this_is_not_the_salt_ur_looking_for的列或类似的模棱两可的东西),他们可以重新生成密码字典并获得访问权限。
浏览 7提问于2011-08-18得票数 5
回答已采纳
1回答
我现在面临着一个奇怪的问题。我有一个登录页面在ASP.NET的MVC接受用户名和密码的用户。当用户单击Login按钮时,表单将与输入的数据一起提交回控制器。
然后,我使用下面的代码来检查它是否是有效的登录:
var isValidLogin = (from user in dbEntities.usermasters
where (user.userName.Equals(login.username) && user.password.Equals(login.password))
selec
浏览 1提问于2016-12-12得票数 0
3回答
我想加密一些密码,并将其放入数据库中。如何将这些内容保存在数据库中,以便在所有者匹配的情况下检索数据。
示例
<?php
// some validations and other staff
$data = $_POST['input'];
$hash = crypt($data);
//then database insert code
?>
如果我echo $hash,它会给我一些加密的数据,但当我刷新页面时,数字会不时变化。如何保持数据是静态的?当输入用户名和密码时,我如何告诉加密密码这是所有者。
示例
<?php
//time of encrypti
浏览 3提问于2013-06-11得票数 0
用盐进行散列是一种更好的安全方法。我想知道什么样的盐渍能防止攻击。偷听。
接下来,我想知道相同密码的盐值是否相同。假设服务器保存了密码和一个分支盐。当用户想要登录时,它会产生一个分支盐并发送哈希。以这种方式,来自服务器和用户的散列无法匹配。我的意见对吗?
浏览 0提问于2016-12-16得票数 -1
6回答
使用salt验证用户登录
、、、
我正在使用来加密我用户的密码。我使用的是PHP,下面是一个用户注册过程中发生的事情的快速示例。
这就是它:
PHP代码:
// Gives me my random key. My salt generator.
$salt = uniqid(mt_rand());
// My password via what users inputs.
$userpwd;
// Then the encryption. I use a HMAC hash.
$encrypted = hmac_hash("sha256", $userpwd
浏览 5提问于2010-11-09得票数 1
回答已采纳
2回答
安全用户身份验证是如何工作的?
、、、、
当用户注册时,我接受他们的密码,并使用散列和盐保护它,然后将其存储到mysql DB中。那么,当注册用户尝试登录时,我如何检查密码是否有效?
我能想到的唯一方法是获得他们的密码,hash+salt它,然后检查hash+salt是否在数据库中。但我不确定这是如何安全的?因为这意味着我的代码将hash+salt任何密码并在DB中找到匹配的密码。
我读到了关于每次登录页面被点击时生成随机盐的内容,但这不意味着如果一个注册用户试图登录,就会生成一个新的散列,它将不同于同一用户注册时生成的散列。
如果有人能阐明这一点,我将不胜感激。我使用的是Java。
浏览 4提问于2013-06-10得票数 3
回答已采纳
我正在集成登录到我的应用程序中。需要在没有互联网连接的情况下登录。意味着当用户第一次获得登录时,将有用于登录认证的web服务调用,但是下次不应该需要该web服务调用时,它应该从设备的本地db进行认证。第一次登录响应时,我将用户凭据保存在本地数据库中(意味着使用sqlite的设备数据库),对于其余的尝试,我将匹配来自本地数据库的凭据以进行身份验证。对于身份验证,password是本地数据库中的计划文本,我正在匹配计划密码。将密码作为计划文本匹配,或者我应该使用任何加密,这是一个好主意/方法吗?如果需要加密,那么为什么需要加密呢?我的意思是,当db文件在内部存储时,没有人可以获取password.
浏览 2提问于2016-10-19得票数 0
假设我设置了一个新用户密码,如下所示:
$salt = random_string(40) // some method that spits out a random
// 40 alpha-numeric character string
$password = hash('sha256', $_POST['password'] . $salt);
那么,当用户想要登录时,我如何将用户输入的密码与他的散列数据库密码进行比较?
浏览 3提问于2011-02-18得票数 1
回答已采纳
1回答
我希望我的登录密码是安全的。因此,我打算在将密码插入数据库之前,使用PHP的crypt()函数对密码进行哈希处理。但是在比较用户输入的密码和转换后的散列密码时,我遇到了麻烦。下面是我的代码:
<?php
$password = 'hello_password';
# A higher "cost" is more secure
$cost = 10;
# Create a random salt
$salt = strtr(base64_encode(mcrypt_create_iv(16, MCRYPT_DEV_URANDOM)), '+&#
浏览 0提问于2015-02-09得票数 0
6回答
密码加密
、
我已经在数据库中以加密格式存储了用户密码。然而,现在当用户想要登录并试图输入他们的原始密码时,代码总是将输入的(原始)密码与数据库中存储的加密版本进行比较,从而导致登录失败。
请告诉我如何将输入的(原始)密码与数据库中存储的加密密码进行比较。
浏览 3提问于2011-03-16得票数 0
回答已采纳
我的算法是这样的:
$new_password = sha1($salt . $password . $email);
它工作得很好,但我正在尝试更改为sha1,因为我听说它更好,但它不起作用。为什么会这样呢?
寄存器:
//generate a strong unique salt
$salt = uniqid(mt_rand());
$new_password = sha1($salt . $password . $email);
然后我在登录时对其进行重新计算
浏览 0提问于2009-10-18得票数 0
2回答
我的登录表单无法识别现有用户。我存储在数据库中的密码是使用PHP的crypt()函数加密的。当用户注册时,他们的密码也被加密并插入到数据库中。
正如您在下面的代码中所看到的,它会检查下面输入的密码是否匹配,但每当我输入存储在数据库中并具有相应用户名的密码时,它都会显示该用户不存在。
我是PDO的新手,这是我第一次使用它,通常情况下,如果我只使用MySQL,它可以正常工作,但由于某些原因,这不是,我已经更改了一点代码,但它仍然不能工作。有人知道我为什么/在哪里/在哪里做错了代码吗?
include "connect.php";
$username = $_POST['u
浏览 1提问于2013-06-20得票数 0
1回答
我在用户注册过程中存储了密码的盐和哈希值...但是在他们登录的过程中,我会对用户给出的密码进行加盐和哈希处理,然后就会生成一个新的加盐和哈希。
string password = collection["Password"];
reg.PasswordSalt = CreateSalt(6);
reg.PasswordHash = CreatePasswordHash(password, reg.PasswordSalt);
这些语句在注册和登录中都有...
注册期间的salt和hash为eVSJE84W和18DE22FED8C378DB7716B0E4B6C0BA541673
浏览 3提问于2010-05-19得票数 0
回答已采纳
1回答
我正在研究密码安全性和用户登录,更具体地说,在数据库中存储和匹配咸密码散列。我了解腌制和散列的基本知识,但我不明白如何在尝试登录时对照存储的散列值进行检查,因为在每个散列之前都会随机生成盐分?
public static void test(String password) throws NoSuchAlgorithmException, InvalidKeySpecException {
int iterations = 65536;
char[] passChar = password.toCharArray();
SecureRandom random = Sec
浏览 5提问于2019-09-09得票数 2
回答已采纳
1回答
设计登录停止工作
、、
所以登录我的网站突然停止工作..。我没有更改登录表单,但是每次我尝试登录时,它都会返回“无效的电子邮件或密码”。使用密码重置链接允许我更改密码并登录,但如果我再次注销并尝试使用密码,我只是设置它不工作。
我完全是在撕扯我的头发,我的想法已经用完了,现在已经是凌晨2点了,所以一切看起来都很黯淡。关于如何调试这个问题的一些想法将是很棒的。
谢谢!
所以,就像往常一样,我只是个白痴。请注意:不要随便运行bundle update而不考虑它,也不要指定您感兴趣的实际创业板,除非您有大量的空闲时间和大量的百忧解。
当我认真地进行升级设计时,这就是我需要的:
在家工作很棒,独自一人做项目,但我真的很想成
浏览 1提问于2012-02-19得票数 0
回答已采纳
请帮帮我,我的老板会杀了我的,这个代码在laravel中不工作,因为密码是hashed,它是bcryted,我如何比较和获取我的us_id (它代表username_id ),试图登录但有错误密码的那个,你有什么建议吗?我想做的很简单,我试图理解如果用户输入了错误的密码,但他/她的用户名是正确的。我是初学者。对此很抱歉:(。我知道这不会起作用,但是如果用户输入了错误的密码,我应该怎么做才能理解呢?
public function login(Request $request, Logs $logs)
{
$password = $request->input('pass
浏览 1提问于2018-01-25得票数 0
我必须通过C#中的代码发送电子邮件,smtp服务器需要身份验证,所以我需要创建一个新的NetworkCredential实例。
现在的问题是,我想使用一些加密方法(如MD5 )将密码存储在db中,但是NetworkCredential构造函数输入了一个清晰的密码,如何使用MD5加密密码创建NetworkCredential实例?
为我糟糕的英语感到抱歉
浏览 1提问于2015-01-26得票数 1
2回答
我正准备在github上公开发布一个项目。在我的项目中,为了进行登录身份验证,我接受一个字符串并将其强类型化为Password
// Stripped down here on SO for brevity
public class Password
{
private const string salt = "sealab2021";
public Password(string password)
{
this.saltedPasswordHash = new MD5Hash(password + this.salt).ToStr
浏览 0提问于2010-11-18得票数 1
回答已采纳
1回答
在启动时运行程序
、、
我目前正在做一个c# wpf项目。我已经向程序添加了代码,以便它创建一个注册表项,以便在用户登录时自动启动程序,并且还编写了程序,以便它可以最小化到系统托盘。
当用户自己手动启动程序时,我显然希望程序像往常一样出现在屏幕中间,但当程序在启动时自动启动时,我希望它最小化加载。
有没有办法确定程序是由用户启动的,还是在启动时启动的,这样我就可以使它的负载最小化,而不是在启动时出现在屏幕上。
浏览 1提问于2011-09-04得票数 5
回答已采纳
我正在使用mysql和iis7的asp.net成员提供程序,很长一段时间都没有用户登录的问题。但现在突然用户无法登录了。我不知道发生了什么。以下是一些有趣的地方:
发生这种情况时,-I正在尝试实现更改密码和重置密码功能。我所做的就是拖放这些功能的控件并设置smtp。当这些重置密码不起作用时,我添加了一个额外的成员标签,如下所示:。但我删除了它,据我所知,我的web.config和以前一样。
-我读到过,如果在web.config中没有指定应用程序名称,可能会发生这种情况。我的web.config有applicationName="/“
-我不确定如何使用事件查看器来帮助解决问题。在我尝
浏览 0提问于2011-07-30得票数 0
回答已采纳
1回答
好的,我对如何创建一个安全的登录系统有一个非常基本的知识。
如果您尝试登录,您将获得尝试的密码,将其散列到示例md5,尝试将散列的密码与存储在某种数据库/服务器上的密码(也是散列的)进行匹配。
注册时,它会将md5散列存储在服务器上,但不会存储原始散列。因此,即使它被攻破了,它也是无法追踪的。(即使存在具有散列数据库的服务,并且可以尝试反转)。
我的问题是:如何存储散列?如果我使用的是mysql数据库,那么里面的细节就是硬编码的,而且我不是用php编写代码的,所以我不能真正创建一个在线数据库。
如何在软件中隐藏mysql凭据?
浏览 0提问于2015-11-07得票数 0
我正在基于来自: MemberShipProvider的代码在c#项目中使用自定义的,由于某些原因,我无法确定解密用户密码以验证登录的方法在密码值前面提供了另外8个字符(例如:䝉慣嘗㳪畕锬密码)。
我使用“加密”passwordFormat,UnEncodePassword方法由以下内容组成:
private string UnEncodePassword(string encodedPassword)
{
string password = encodedPassword;
password = Encoding.Unicode.GetString(DecryptPass
浏览 4提问于2010-02-08得票数 1
回答已采纳
2回答
一次性盐和服务器密码比较
、、、、
我读到过,验证用户的一种更安全的方法是在散列密码时使用一次性盐。我不明白的是:
如果客户端每次会话都生成一个新的salt,那么产生的salt+password散列不是每次会话都不同吗?如果是这样,服务器如何能够将发送的密码与其存储的密码进行比较?有没有一种方法可以让服务器比较不同的哈希值,同时仍然能够辨别出使用了相同的密码?
(免责声明:我并没有试图重新发明轮子/编写登录协议(我知道,我知道:使用SSL/TLS)。我只是对登录协议的高级功能感到好奇)
浏览 2提问于2011-09-22得票数 3
回答已采纳
我有几个使用ClickOnce启动的WinForms .NET程序。用户登录到一个应用程序,并获得一个登录ID。我需要能够从其他程序获得此ID的副本。谁能告诉我如何使用远程处理、反射或其他方法!如果你能给我举个例子,那就太好了。
代码是使用Visual Studio2010用C#编写的,但用任何.NET语言编写的旧示例都可以。
浏览 0提问于2010-08-07得票数 2
回答已采纳
6回答
我现在正在尝试找出为我的ASP.NET MVC3应用程序散列密码的最佳方法。据我所知,最好使用给定的密码和随机的盐,然后将散列的密码和盐存储在一起。我的问题是,这不会让随机加盐变得毫无意义吗?我的意思是,散列密码的原因是,如果有人进入你的数据库,他们没有明文密码,并且salt使得获取密码的散列变得更加困难,但如果我将散列与密码一起存储,那么salt的意义何在(我对散列的了解非常有限,所以我的想法可能完全错误)。
我的第二个问题是哪种散列方法是最好的?我读到MD5 (这是我一直使用的)非常容易破解。我听说bcrypt/sha512很不错。应该使用哪一个?我知道默认情况下,C#附带sha512散列
浏览 0提问于2011-06-18得票数 7
4回答
我现在的网站有一个登录服务,我想知道的是--有没有什么特别的方法你可以称之为最安全的?
请允许我更好地解释一下我的系统:
我目前有一个带有用户表的PHP数据库。用户名和口令都存储为VARCHAR (据我所知,这对于口令来说不是最好的)。
在注册表单方面,我通过只允许输入-Z0-9来控制密码和用户名的选择,并限制字符数。在登录表单端,我使用mysql_real_escape_string阻止攻击,并使用POST到iFrame而不是AJAX。
我觉得我正在尽我所能防止来自表单端的攻击,而不是来自数据库端的攻击。我知道您可以更改密码存储的类型,以便在进入数据库时加密,但我不明白的是,我如何查询这个加
浏览 0提问于2010-08-20得票数 5
回答已采纳
我需要一个登录系统来检查用户密码。我知道盐密码,但我应该存储盐和加密的密码,还是应该只存储加密的密码,盐在我的应用配置文件中的某个地方?
请赞成和反对,如果有一些,谢谢!
浏览 2提问于2010-09-14得票数 1
回答已采纳
1回答
我正在开发一个应用程序,该应用程序需要在应用程序使用之间保存一个字段,以便在下一次使用(例如)期间检索数据。在登录时保存用户名,检索它并在应用程序下一次启动时预先填充用户名字段)。我环顾四周,发现了几种实现这一目标的方法,例如加密&保存在本地机器上的文件,以及在Windows注册表中保存值。对于实现这一目标,这些方法中的任何一种都优于其他方法吗?还有其他建议吗?
浏览 0提问于2015-07-08得票数 1
回答已采纳
3回答
我有一些C#和C++的代码(在一个项目中)。这段代码有一些崩溃,我试图找到它。但是这个崩溃在任何时候都不会重现--我也找不到它。
我想配置代码/ windows操作系统,以便在崩溃时创建转储文件。
我的限制是...我对这个崩溃重现的机器的访问权限是有限的-这不是开发中的机器。这是测试实验室机器
那么,该怎么做呢?如何更改解决方案中在崩溃时将创建的新转储文件的属性?
(目标是能够分析windbg工具中的转储)
浏览 1提问于2012-04-10得票数 7
回答已采纳
1回答
目前,我已经配置了一个桌面UWP C#应用程序,用户可以使用AWS认知用户和用户池登录并注册。应用程序还需要与另一个3 registration通信,后者使用1次注册返回OAuth2.0访问令牌和刷新令牌。访问令牌到期~20分钟,然后刷新令牌直到请求的生命周期结束,通常直到用户撤销为止。我想要存储刷新令牌,以便在用户登录并由科尼托验证时可以检索它。当认知用户属性注册时,是否可以将该访问令牌存储在他们的属性中,或者我是否需要将其存储在其他地方?如果我确实需要将它存储在其他地方,那么有什么AWS服务通常用于此吗?
浏览 1提问于2021-05-16得票数 1
回答已采纳
import bcrypt
hashedstring = bcrypt.gensalt()
password = bcrypt.hashpw(password,hashedstring)
我是否应该每次都将hashedstring保存在数据库表字段中,以便下次成功登录时获取hashedstring?
或者我应该在代码中使用静态的预先生成的哈希字符串?
浏览 0提问于2012-01-15得票数 0
回答已采纳
4回答
地窖怎么会有内置盐呢?
、、、
Coda的文章声称:
bcrypt有内置盐类以防止彩虹桌的攻击。
他引用的话说,在OpenBSD的bcrypt实现中
OpenBSD从弧四(arc4random(3))密钥流中生成128位的bcrypt盐,该密钥流带有内核从设备时间收集的随机数据。
我不明白这是怎么回事在我对盐的概念中:
对于每个存储的密码,它需要不同,以便为每个密码生成一个单独的彩虹表。
它需要存储在某个地方,以便可以重复:当用户尝试登录时,我们会尝试他们的密码,重复我们最初存储他们密码时所做的盐类和散列过程,并进行比较。
当我用bcrypt使用Devise ( Rails登录管理器)时,数据
浏览 3提问于2011-07-26得票数 737
回答已采纳
注册时的
string crypt = CryptSharp.Crypter.Sha512.GenerateSalt();
crypt = txtspss.Text.Trim();
crypt = CryptSharp.Crypter.Sha512.Crypt(txtspss.Text, crypt);
登录时的.
string cpass=dr["strUPass"].ToString();
bool matches = Crypter.CheckPassword(pass,cpass);
if (matches)
{....}
浏览 5提问于2015-02-08得票数 1
回答已采纳
我有一个项目,它由两部分组成,web部分和java部分,在web部分,我使用symfony和FOSUserBundle来管理用户,这两个应用程序共享同一个数据库。FOSUserBundle使用板式SHA1来加密密码,我希望通过java应用程序进行身份验证,但我不知道symfony中的加盐机制是如何工作的。在[Model/User.php][1]类的构造函数中,有一行:
$this->salt = base_convert(sha1(uniqid(mt_rand(), true)), 16, 36);
正如我们在这里看到的,盐是使用随机数mt_rand()生成的,我这里有两个问题,如果盐是
浏览 0提问于2016-04-26得票数 0
3回答
我正在开发一个管理敏感数据的安全应用程序,所以我需要某种安全的登录机制。我正在使用Qt库(C++版本),到目前为止,我还没有找到一个函数来提供这个加密安全的伪随机数生成器,以便在用户从我的应用程序中创建帐户时获得Salt。我知道应该如何在数据库中存储密码,而CSPRNG在制作新盐时似乎是必须的。我寻找了很长一段时间,试图在Qt中找到一种方法来实现这一点,但是我已经得出了这样的结论:在Qt中没有一种方法可以做到这一点。更确切地说,至少有一个跨平台的C++方法来实现这一点吗?我不介意包含一个库,但我希望它是LGPL,所以如果我选择在将来开发一个专有/封闭源代码应用程序,我仍然可以使用相同的方法。其
浏览 0提问于2012-11-19得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
