Хэш-пароль C # создает солидный вопрос

Question

Если я создаю соль, используя что-то вроде этого:

public class User
    {
        private const int Hash_Salt_Length = 8;
        private byte[] saltBytes = new byte[Hash_Salt_Length];


        public User()
        {
            RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
            rng.GetNonZeroBytes(saltBytes);     
        }
        ....

}

Массив saltBytes байтов будет отличаться для каждого сеанса (перезапустите приложение). Как я могу проверить пароль, чтобы пользователь мог войти в наше приложение?

Answer 1

Вам нужно хранить соль в базе данных вместе с хэшем пароля.

Обратите внимание, что вам не следует звонить GetNonZeroBytes, поскольку это обеспечивает меньшую случайность.

Answer 2

Если соль меняется каждый раз при перезапуске приложения, вам нужно будет сохранить ее в базе данных (в записи пользователя).

Answer 3

Соль - это статическая вещь, которую вы генерируете, когда создаете свою пользовательскую запись и сохраняете ее вместе с идентификатором пользователя и хешем пароля + соли.

Когда пользователь пытается войти в систему, вы используете идентификатор для поиска соли, комбинируете ее со своим паролем, хэшируете и сравниваете с сохраненным хешем. Если они совпадают, они в.

Соль существует так, что злоумышленник, имеющий доступ к вашей базе данных безопасности, не может предварительно подготовить базу данных паролей -> сопоставления хешей, а затем выполнить простой обратный поиск, чтобы попытаться определить пароли.