【问题标题】:Why isn't my .net-calculated MD5 hash equivalent to the hash calculated on a web site?为什么我的 .net 计算的 MD5 哈希值不等于在网站上计算的哈希值?
【发布时间】:2010-09-16 10:53:38
【问题描述】:

我正在尝试在 JavaScript 和 .Net 中生成等效的 MD5 哈希。也没有这样做,我决定使用第三方计算 - 这个web site 用于“密码”一词。稍后我会添加盐,但目前,我无法让 .net 版本与网站的哈希匹配:

5f4dcc3b5aa765d61d8327deb882cf99

我猜这是一个编码问题,但我已经尝试了大约 8 种不同的方法来计算 .Net 中的 MD5 哈希,但没有一个与我在 JavaScript(或从网站上获得的)相匹配)。这个MSDN example 是我尝试过的方法之一,它产生了我通常收到的这个哈希:

7c6a180b36896a0a8c02787eeafb0e4c

编辑:可悲的是,我不小心为两种不同的实现提供了不同的源字符串。埃布萨克。 :-/ 仍然有兴趣听听您对后续行动的回答。

额外问题:哪种编码/格式最适合在数据库中存储散列值?

【问题讨论】:

  • 你使用 javascript 哈希做什么?我问的原因是,如果是为了安全,应该只在服务器上生成。
  • 从这个讨论中退一步,我觉得Thomas Ptacek's post(回应Jeff Atwood post 类似主题)最好地解释了为什么你不应该使用像 MD5 这样的东西来进行密码散列。推荐阅读。

标签: .net security hash cryptography


【解决方案1】:

从您引用的 MSDN 站点运行代码:

 // Hash an input string and return the hash as
    // a 32 character hexadecimal string.
    static string getMd5Hash(string input)
    {
            // Create a new instance of the MD5CryptoServiceProvider object.
            MD5 md5Hasher = MD5.Create();

            // Convert the input string to a byte array and compute the hash.
            byte[] data = md5Hasher.ComputeHash(Encoding.Default.GetBytes(input));

            // Create a new Stringbuilder to collect the bytes
            // and create a string.
            StringBuilder sBuilder = new StringBuilder();

            // Loop through each byte of the hashed data 
            // and format each one as a hexadecimal string.
            for (int i = 0; i < data.Length; i++)
            {
                sBuilder.Append(data[i].ToString("x2"));
            }

            // Return the hexadecimal string.
            return sBuilder.ToString();
        }


        static void Main(string[] args)
        {
            System.Console.WriteLine(getMd5Hash("password"));
        }

返回:

5f4dcc3b5aa765d61d8327deb882cf99

【讨论】:

  • 是的。 :-/ 我在两个实现中使用了不同的源字符串。白痴!
【解决方案2】:

发生这种情况是因为您以某种方式散列 password1 而不是 password,或者可能错误地计算了 password 并且它以某种方式神秘地等于 password1

您可以反向查找您通过谷歌搜索提供的 md5 哈希

7c6a180b36896a0a8c02787eeafb0e4c

【讨论】:

    【解决方案3】:

    对于“密码”一词,我得到与该网站相同的值:

    $ echo -n password | md5
    5f4dcc3b5aa765d61d8327deb882cf99
    

    没有看到您实际使用的代码,很难判断可能出了什么问题。

    至于在数据库中存储哈希,我将它们存储为十六进制字符串。尽管大多数数据库都可以处理二进制 blob,但将它们存储为二进制只能节省一半的空间,而且它们更难查询和操作。您存储的其他数据以及散列可能更大。

    【讨论】:

    • 或者使用Base64,它只会将二进制文件扩展三分之一而不是加倍。并不是说 MD5 可以安全地用于密码哈希。
    【解决方案4】:

    根据我自己的经验,这个 VB.Net 版本给出了与 MySQL 相同的结果:

    Private Function MD5Hash(ByVal str As String) As String
    
        Dim md5 As MD5 = MD5CryptoServiceProvider.Create
        Dim hashed As Byte() = md5.ComputeHash(Encoding.Default.GetBytes(str))
        Dim sb As New StringBuilder
    
        For i As Integer = 0 To hashed.Length - 1
            sb.AppendFormat("{0:x2}", hashed(i))
        Next
    
        Return sb.ToString
    
    End Function
    

    【讨论】:

      【解决方案5】:

      您是否有任何代码尝试如何做到这一点?

      (对第二个问题的回应)我通常使用字符串字段并将其存储为 BASE64 编码。很容易使用并进行比较。

      /// <summary>
      /// Gets the Base 64 encoded SHA1 hashed password
      /// </summary>
      /// <returns>A Base 64 encoded string representing the SHA1 Hash of the password</returns>
      public string ToBase64SHA1String()
      {
          return Convert.ToBase64String(this.GetSHA1HashCode());
      
      }
      

      【讨论】:

      • 我已经链接到我正在使用的一种方法 - 在帖子中。
      【解决方案6】:

      还应注意,可以使用彩虹表破解 MD5 和(互联网上有免费程序可以接受 MD5 和作为输入并输出明文 - 通常是密码)

      SHA1 可能是更好的选择...

      编辑:添加盐是防止您的哈希被反转的好方法
      编辑 2:如果我费心阅读您的帖子,我会我注意到你已经提到你打算加盐

      【讨论】:

      • 我认为即使使用盐 MD5 也不够安全。
      • @Ramhound 在您发表评论 5 年后,它绝对不安全 =)
      猜你喜欢
      • 2012-04-14
      • 1970-01-01
      • 2011-12-08
      • 2012-10-26
      • 2014-04-01
      • 2017-01-27
      • 2016-06-23
      • 2011-08-27
      • 2015-12-18
      相关资源
      最近更新 更多