Аутентификация клиент-сервер, хеш-пароли удостоверений Asp.Net

Question

Я столкнулся с дилеммой.

Я использую идентификацию Asp.Net в клиент-серверном приложении для хранения учетных записей пользователей, ролей и паролей.Просто чтобы избежать шаблонов и не изобретать велосипед. Это работает.

Однако я хочу проверить удаленного клиента.Я не хочу передавать пароль по проводам, поэтому я хочу также закодировать / хэшировать его и получить токен доступа.

Механизм хеширования в Asp.Net использует случайную соль, включенную в "PasswordHash "в таблице AspNetUsers, включая алгоритм шифрования, соль, версию и т. Д.

Есть ли какие-либо предложения по безопасной проверке пароля клиента?Может быть, извлечь соль на сервере, чтобы отправить / повторно закодировать пароль на клиенте или что-то подобное?

Сервер: сохраненный хэш

Клиент: пароль для хеширования / шифрования и отправки на сервер

Необходимо: надежно подтвердить пароль

Answer 1

Во время аутентификации проверка паролей должна выполняться на стороне сервера.Проверить Сгенерированный Хэш с Сохранено Хэш.

Чтобы подтвердить пароль, я бы попытался выполнить следующие действия на сервере.

1) Отправитьпароль от клиента к серверу через Https / SSL

2) Извлечение соли пользователя и хеша из базы данных.

3) Создание хэша из пароля пользователя и хранимых данных Соль .

4) Сравнение хэша из базы данных с сгенерированным хэшем.

Ссылка: https://crackstation.net/hashing-security.htm