如何使用 PBKDF2 在 .NET 中安全地散列密碼？

使用當前最佳實踐在 .NET 中安全地雜湊密碼

在資料庫中儲存密碼時，使用雜湊演算法保護敏感資訊至關重要。加密方法不適用於此目的。 .NET 中最好的原生密碼雜湊演算法是 PBKDF2（基於密碼的金鑰衍生函數 2）。

使用 PBKDF2 進行密碼雜湊的逐步指南

步驟 1：產生鹽值

鹽值是一個隨機值，用來使每個密碼的雜湊值唯一。使用加密 PRNG（偽隨機數產生器）建立鹽值：

byte[] salt;
new RNGCryptoServiceProvider().GetBytes(salt = new byte[16]);

步驟 2：建立 PBKDF2 物件並計算雜湊值

實例化 Rfc2898DeriveBytes 類別並指定密碼、鹽值和所需的迭代次數（建議約 100,000 次）：

var pbkdf2 = new Rfc2898DeriveBytes(password, salt, 100000);
byte[] hash = pbkdf2.GetBytes(20);

步驟 3：組合鹽值和密碼位元組以進行儲存

組合鹽值和密碼位元組以建立單一字串以供資料庫儲存：

byte[] hashBytes = new byte[36];
Array.Copy(salt, 0, hashBytes, 0, 16);
Array.Copy(hash, 0, hashBytes, 16, 20);

步驟 4：轉換為 Base64 字串以進行儲存

將組合的位元組編碼為 Base64 字串以儲存在資料庫中：

string savedPasswordHash = Convert.ToBase64String(hashBytes);

步驟 5：驗證使用者輸入的密碼

要驗證使用者輸入的密碼與儲存的雜湊值是否相符：

• 從資料庫取得儲存的密碼雜湊值。
• 從儲存的雜湊值中提取鹽值和雜湊位元組。
• 使用使用者輸入的密碼和提取的鹽值計算新的雜湊值。
• 將計算出的雜湊值與儲存的雜湊值進行比較。如果匹配，則密碼有效。

string savedPasswordHash = DBContext.GetUser(u => u.UserName == user).Password;

byte[] hashBytes = Convert.FromBase64String(savedPasswordHash);
byte[] salt = new byte[16];
Array.Copy(hashBytes, 0, salt, 0, 16);

var pbkdf2 = new Rfc2898DeriveBytes(password, salt, 100000);
byte[] hash = pbkdf2.GetBytes(20);

for (int i=0; i < 20; i++)
    if (hashBytes[i+16] != hash[i])
        throw new UnauthorizedAccessException();

注意：可以根據應用程式的效能要求調整迭代次數。通常建議最小值為 10,000。

以上是如何使用 PBKDF2 在 .NET 中安全地散列密碼？的詳細內容。更多資訊請關注PHP中文網其他相關文章！