程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> .NET網頁編程 >> 關於.NET >> C# salt+hash 加密,

C# salt+hash 加密,

編輯:關於.NET

C# salt+hash 加密,


一、先明確幾個基本概念

  1、偽隨機數:pseudo-random number generators ,簡稱為:PRNGs,是計算機利用一定的算法來產生的。偽隨機數並不是假隨機

      數,這裡的“偽”是有規律的意思,就  是計算機產生的偽隨機數既是隨機的又是有規律的。怎樣理解呢?產生的偽隨機數有時遵守一定的規律,有

      時不遵守任何規律;偽隨機數有一部分遵守一定的規律;另一部分不遵守任何規律。比如“世上沒有兩片形狀完全相同的樹葉”,這正是點到了事

      物的特性,即隨機性,但是每種樹的葉子都有近似的形狀,這正是事物的共性,即規律性。從這個角度講,你大概就會接受這樣的事實了:計算機

      只能產生偽隨機數而不能產生絕對隨機的隨機數。

  2、真隨機數:true random number generators ,簡稱為:TRNGs,是利用不可預知的物理方式來產生的隨機數。

  3、明文:原始密碼,未經過任何算法加密的密碼。

  4、密文:原始密碼經過某種算法加密後,形成的密碼。

二、C# salt+hash加密規則

   規則:salt偽隨機值+原始密碼,即salt偽隨機值與原始密碼組合成明文,然後經過hash算法形成密文,如:

           假設salt產生的偽隨機數為:9de74893-0b41-4f4e-91dc-06f62241b8bc

           原始明文為:admin

           組合規則:原始明文+salt偽隨機值,即admin9de74893-0b41-4f4e-91dc-06f62241b8bc

           hash加密後密文:urfFO/IWz912E2GXL4KiCzbosuZ6TdLpMk7lDRVVdYk=

           數據庫表結果如下:

          

三、C# salt產生偽隨機數原理

   第一步:引入命名空間 using System;

   第二步:調用結構體Guid的NewGuid()方法;

   第三步:代碼表示 string strSalt = Guid.NewGuid().ToString();  

       注釋:當然,也可以調用類Random下的方法來產生偽隨機數。

四、hash原理

   hash是一種不可逆加密算法,C# HASH算法比較多,列舉幾種如下:

   1、MD5

   2、SHA家族:這裡順便提一下,美國政府以前廣泛采用SHA-1算法,在2005年被我國山東大學的王小雲教授發現了安全漏洞,所以現在比較常

       用SHA-1加長的變種,比如SHA-256。在.NET中,可以使用SHA256Managed類

   3、關鍵代碼如下:

 protected void btnRegister_Click(object sender, EventArgs e)
        {
           //用戶名和密碼
            string userName = this.TextBoxUserName.Text;
            string userPwd = this.TextBoxPWD.Text;
            //salt
            string strSalt= Guid.NewGuid().ToString();
           
            //SHA256加密
            byte[] pwdAndSalt = Encoding.UTF8.GetBytes(userPwd + strSalt);
            byte[] hashBytes = new SHA256Managed().ComputeHash(pwdAndSalt);
            string hashStr = Convert.ToBase64String(hashBytes);

            StringBuilder strBuid = new StringBuilder();
            strBuid.Append("INSERT INTO userInfo(");
            strBuid.Append("userName,userPassword,salt) values(");
            strBuid.Append("@userName,@hashStr,@strSalt)");
            SqlParameter[] sqlpara = {
                                         new SqlParameter("@userName",SqlDbType.NVarChar,50),
                                         new SqlParameter("@hashStr",SqlDbType.NVarChar,50),
                                         new SqlParameter("@strSalt",SqlDbType.NVarChar,50)
                                     };
            sqlpara[0].Value = this.TextBoxUserName.Text;
            sqlpara[1].Value = hashStr;
            sqlpara[2].Value = strSalt;
            //獲取連接字符串
            string sqlConStr = ConfigurationManager.ConnectionStrings["conStr"].ConnectionString;

            using (SqlConnection con=new SqlConnection(sqlConStr))
            {
                con.Open();
                SqlCommand cmd = new SqlCommand(strBuid.ToString(),con);
                cmd.Parameters.AddRange(sqlpara);
                if (cmd.ExecuteNonQuery()>0)
                {
                    Response.Write("<script>alert('注冊成功!')</script>");
                }
                else
                {
                    Response.Write("<script>alert('注冊失敗!')</script>");
                }
                 
            }
        }
五、C#常見加密算法

     MD5加密、SHA家族加密、RSA加密、DES加密,目前主流加密為RSA,如數字簽名等,在本篇博客中,就不論述,以後會對這四類算法作詳細論述。

六、常見密碼破解算法(引用http://www.cnblogs.com/freeliver54/p/3623299.html#undefined)

    最簡單、常見的破解方式當屬字典破解(Dictionary Attack)和暴力破解(Brute Force Attack)方式。這兩種方法說白了就是猜密碼。

image 

      字典破解和暴力破解都是效率比較低的破解方式。如果你知道了數據庫中密碼的哈希值,你就可以采用一種更高效的破解方式,查表法(Lookup Tables)。還有一些方法,比如逆向查表法(Reverse Lookup Tables)、彩虹表(Rainbow Tables)等,都和查表法大同小異。現在我們來看一下查表法的原理。

     查表法不像字典破解和暴力破解那樣猜密碼,它首先將一些比較常用的密碼的哈希值算好,然後建立一張表,當然密碼越多,這張表就越大。當你知道某個密碼的哈希值時,你只需要在你建立好的表中查找該哈希值,如果找到了,你就知道對應的密碼了。

 

七、為什麼使用hash來加密(引用http://www.cnblogs.com/freeliver54/p/3623299.html#undefined)

如果你需要保存密碼(比如網站用戶的密碼),你要考慮如何保護這些密碼數據,象下面那樣直接將密碼寫入數據庫中是極不安全的,因為任何可以打開數據庫的人,都將可以直接看到這些密碼。

image

解決的辦法是將密碼加密後再存儲進數據庫,比較常用的加密方法是使用哈希函數(Hash Function)。哈希函數的具體定義,大家可以在網上或者相關書籍中查閱到,簡單地說,它的特性如下:

(1)原始密碼經哈希函數計算後得到一個哈希值

(2)改變原始密碼,哈希函數計算出的哈希值也會相應改變

(3) 同樣的密碼,哈希值也是相同的

(4) 哈希函數是單向、不可逆的。也就是說從哈希值,你無法推算出原始的密碼是多少

有了哈希函數,我們就可以將密碼的哈希值存儲進數據庫。用戶登錄網站的時候,我們可以檢驗用戶輸入密碼的哈希值是否與數據庫中的哈希值相同。

image

由於哈希函數是不可逆的,即使有人打開了數據庫,也無法看到用戶的密碼是多少。

那麼存儲經過哈希函數加密後的密碼是否就是安全的了呢?參照六、發現並不安全,只有加上salt才安全,因為salt是隨機生成的。

  • 感謝您的閱讀,若有不足之處,歡迎指教,共同學習、共同進步。
  • 博主網址:http://www.cnblogs.com/wangjiming/。
  • 極少部分文章利用讀書、參考、引用、抄襲、復制和粘貼等多種方式整合而成的,大部分為原創。
  • 如您喜歡,麻煩推薦一下;如您有新想法,歡迎提出,郵箱:[email protected]
  • 可以轉載該博客,但必須著名博客來源。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved