【发布时间】:2014-01-04 11:52:33
【问题描述】:
我想知道在 MVC 5 和 ASP.NET 身份框架附带的UserManager 中默认实现的密码哈希是否足够安全?如果是这样,您能否向我解释一下它是如何工作的?
IPPasswordHasher 界面如下所示:
public interface IPasswordHasher
{
string HashPassword(string password);
PasswordVerificationResult VerifyHashedPassword(string hashedPassword,
string providedPassword);
}
如您所见,它不需要盐,但在此线程中提到:“Asp.net Identity password hashing” 它确实在幕后加盐。所以我想知道它是如何做到的?这种盐是从哪里来的?
我担心的是盐是静态的,因此非常不安全。
【问题讨论】:
-
我不认为这直接回答了你的问题,但是 Brock Allen 在这里写了你的一些担忧 => brockallen.com/2013/10/20/… 并且还写了一个开源的用户身份管理和身份验证库,它有各种样板功能,如密码重置、散列等。github.com/brockallen/BrockAllen.MembershipReboot
-
@Shiva 谢谢,我会查看图书馆和页面上的视频。但我宁愿不必处理外部库。如果我能避免,就不会。
-
仅供参考:stackoverflow 等效的安全性。所以虽然你经常会在这里得到一个好的/正确的答案。专家们在security.stackexchange.com 特别是评论“它安全吗”我问了一个类似的问题,答案的深度和质量令人惊叹。
-
@philsoady 谢谢,这当然有道理,我已经在其他一些“子论坛”上,如果我没有得到答案,我可以使用,我会转到 @ 987654327@。并感谢您的提示!
标签: c# asp.net security passwords asp.net-identity