Question

Я пытаюсь усилить безопасность аутентификации моего приложения на C #. У меня есть свой собственный сервер, с которым я аутентифицируюсь, и реализовал сервис, который может создавать новые хэши паролей из случайной соли, которая генерируется на лету, и может проверять пароль по сохраненному паролю + хешированной соли. Я сохраняю хешированную соль pw + в XML-файле на стороне сервера.

Q1. Безопаснее ли хранить соль, а затем вводить пароль каждый раз, когда он начинает сеанс? Q2. Я хотел бы упростить для пользователя (внутри корпоративной локальной сети) и разрешить «автоматическую» аутентификацию на основе его имени пользователя для входа в AD. Каков наилучший способ сделать это? Могу ли я сохранить токен или сертификат на стороне клиента, который истекает каждую неделю или около того?

Ура, Лассе

Matthew James Davis · Answer 1 · 28 января 2016

Краткий ответ: BCrypt

Как описано в этот ответ :

Bcrypt имеет лучший вид репутации, который может бытьДостигнуто для криптографического алгоритма: он существует довольно давно, довольно широко используется, «привлекает внимание», но до сих пор не сломлен.

Я написал подробную статью о том, какреализовать BCrypt в различных рамках здесь: http://davismj.me/blog/bcrypt

Рекомендации по безопасности аутентификации C #

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Рекомендации по безопасности аутентификации C #

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов