ASP.NET членская соль?
Как членство ASP.NET генерирует свой ключ соли, а затем как они кодируют его (то есть, это соль + пароль или пароль + соль)?
Я использую SHA-1 с моим членством, но я хотел бы воссоздать те же соли, чтобы встроенный элемент принадлежности мог хешировать вещи так же, как мои вещи могут.
Изменить 2: Ничего. Я неправильно понял и думал, что он сказал байты, а не бит. Таким образом, я проходил 128 байтов, а не 128 бит.
Изменить: Я пытался это сделать. Это то, что у меня есть,
public string EncodePassword(string password, string salt)
{
byte[] bytes = Encoding.Unicode.GetBytes(password);
byte[] src = Encoding.Unicode.GetBytes(salt);
byte[] dst = new byte[src.Length + bytes.Length];
Buffer.BlockCopy(src, 0, dst, 0, src.Length);
Buffer.BlockCopy(bytes, 0, dst, src.Length, bytes.Length);
HashAlgorithm algorithm = HashAlgorithm.Create("SHA1");
byte[] inArray = algorithm.ComputeHash(dst);
return Convert.ToBase64String(inArray);
}
private byte[] createSalt(byte[] saltSize)
{
byte[] saltBytes = saltSize;
RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
rng.GetNonZeroBytes(saltBytes);
return saltBytes;
}
Итак, я не пытался узнать, узнает ли членство ASP.NET, но хешированный пароль выглядит близко. Я просто не знаю, как преобразовать его в base64 для соли.
Я сделал это
byte[] storeSalt = createSalt(new byte[128]);
string salt = Encoding.Unicode.GetString(storeSalt);
string base64Salt = Convert.ToBase64String(storeSalt);
int test = base64Salt.Length;
Длина теста равна 172, что намного превышает 128 бит, так что я делаю неправильно?
Это их соль выглядит как
vkNj4EvbEPbk1HHW+K8y/A==
Это то, что моя соль выглядит как
E9oEtqo0livLke9+csUkf2AOLzFsOvhkB/NocSQm33aySyNOphplx9yH2bgsHoEeR/aw/pMe4SkeDvNVfnemoB4PDNRUB9drFhzXOW5jypF9NQmBZaJDvJ+uK3mPXsWkEcxANn9mdRzYCEYCaVhgAZ5oQRnnT721mbFKpfc4kpI=
Ответы
Ответ 1
Что такое хэш-алгоритм по умолчанию, который использует членство ASP.NET? имеет хорошее обсуждение их алгоритма по умолчанию.
Я надеюсь, что это поможет!
Edit-
Ответ, на который я имел в виду, - это код в верхнем сообщении,
public string EncodePassword(string pass, string salt)
{
byte[] bytes = Encoding.Unicode.GetBytes(pass);
//byte[] src = Encoding.Unicode.GetBytes(salt); Corrected 5/15/2013
byte[] src = Convert.FromBase64String(salt);
byte[] dst = new byte[src.Length + bytes.Length];
Buffer.BlockCopy(src, 0, dst, 0, src.Length);
Buffer.BlockCopy(bytes, 0, dst, src.Length, bytes.Length);
HashAlgorithm algorithm = HashAlgorithm.Create("SHA1");
byte[] inArray = algorithm.ComputeHash(dst);
return Convert.ToBase64String(inArray);
}
Они объединяют Unicode Salt + Pass, используя BlockCopy
- В ответ на ваш вопрос:
Оба алгоритма необходимы и выполняют разные роли...
RNG Crypto используется для получения соли. Это в основном длинная строка случайных данных. Это генерируется и сохраняется на основе каждого пользователя. Обычно это делается при создании пользователя или изменении пароля.
BlockCopy - это просто метод, который они используют для объединения соли с паролем. Вышеприведенный код по существу означает соль + пароль.
Вы не сможете воссоздать значение соли, поскольку оно абсолютно случайное. Тем не менее, он хранится для каждого пользователя в рамках.
Объединяя соль с паролем и хешируя его с помощью вышеприведенной техники, вы сможете проверять пароли пользователей, используя хешированное значение, хранящееся в структуре.
Я думаю, что мы оба по-другому читаем ваш вопрос. Код, который я написал, не будет генерировать соль, но он позволит вам использовать его таким образом, который совместим с членством в ASP.NET.
Извините, мое объяснение не самое лучшее - это ответ на ваш вопрос?
Ответ 2
Вот как SQLMembershipProvider генерирует соль.
private string GenerateSalt() {
var buf = new byte[16];
(new RNGCryptoServiceProvider()).GetBytes(buf);
return Convert.ToBase64String(buf);
}
Вы можете загрузить код поставщика ASP.NET SQL здесь.
Проблема, с которой я столкнулась, - это приложение для разработки, работающее на IIS7. В .NET 4.0 использовался другой хэш-алгоритм по умолчанию, отличный от HashAlgorithmType по умолчанию для .NET 2.0.
В примере кода "EncodePassword" от Microsoft они ссылаются на Membership.HashAlgorithmType, который, как мне кажется, возвращает значение по умолчанию для фреймворка, если оно не указано в web.config.
Мне удалось заставить оба метода GenerateSalt и EncodePassword работать для моего приложения.
Мой комбинированный код:
internal string GenerateSalt()
{
byte[] buf = new byte[16];
(new RNGCryptoServiceProvider()).GetBytes(buf);
return Convert.ToBase64String(buf);
}
internal string EncodePassword(string pass, int passwordFormat, string salt)
{
if (passwordFormat == 0) // MembershipPasswordFormat.Clear
return pass;
byte[] bIn = Encoding.Unicode.GetBytes(pass);
byte[] bSalt = Convert.FromBase64String(salt);
byte[] bAll = new byte[bSalt.Length + bIn.Length];
byte[] bRet = null;
Buffer.BlockCopy(bSalt, 0, bAll, 0, bSalt.Length);
Buffer.BlockCopy(bIn, 0, bAll, bSalt.Length, bIn.Length);
if (passwordFormat == 1)
{ // MembershipPasswordFormat.Hashed
HashAlgorithm s = HashAlgorithm.Create("SHA1");
// Hardcoded "SHA1" instead of Membership.HashAlgorithmType
bRet = s.ComputeHash(bAll);
}
else
{
bRet = EncryptPassword(bAll);
}
return Convert.ToBase64String(bRet);
}
Ответ 3
Вот один из способов сделать это. Соль - это просто случайное число, вы можете использовать класс RNGCryptoServiceProvider в библиотеке фреймов для получения хорошего случайного числа для использования в качестве соли
private const int ITERATIONS = 10000;
private const int SALT_SIZE = 32;
private const int HASH_SIZE = 32;
public void SaltAndHashPassword(string password, out byte[] salt,
out byte[] hash)
{
Rfc2898DeriveBytes rdb = new Rfc2898DeriveBytes(
password,
SALT_SIZE,
ITERATIONS);
salt = rdb.Salt;
hash = rdb.GetBytes(HASH_SIZE);
}
