Asp.net Identity 密码哈希

Question

新的 ASP.net Identity 项目为网站安全带来了一些有用的代码和接口。要使用接口实现自定义系统（而不是使用 MVC 5 模板中包含的标准实体框架实现），需要 IPasswordHasher。

IPasswordHasher ASP.net Identity 中的接口

namespace Microsoft.AspNet.Identity
{
    public interface IPasswordHasher
    {
         string HashPassword(string password);
         PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword);
    }
}

是否可以使用密码加盐在 ASP.net Identity 中以及通过此接口进行更安全的加密？

Answer 1

HEALTH WARNING 对于以下答案：知道您使用的是哪个版本的 ASP.Net Identity。如果它是来自 github 存储库的较新版本之一，您应该直接参考源代码。

在我写这篇文章时，密码处理程序的当前版本 (3.0.0-rc1/.../PasswordHasher.cs) 与以下答案有很大不同。这个较新的版本支持多个哈希算法版本，并记录为（并且在您阅读本文时可能会进一步更改）：

版本 2：

• 带有 HMAC-SHA1、128 位盐、256 位子密钥、1000 次迭代的 PBKDF2。
• （另请参见：SDL 加密指南 v5.1，第 III 部分）
• 格式：{ 0x00, salt, subkey }

版本 3：

• 带有 HMAC-SHA256、128 位盐、256 位子密钥、10000 次迭代的 PBKDF2。
• 格式：{ 0x01, prf (UInt32), iter count (UInt32), salt length (UInt32), salt, subkey }
• （所有 UInt32 都是大端存储的。）

原来的答案仍然有效对于原来的ASP.Net Identity版本，如下：

---

@jd4u 是正确的，但要阐明一些不适合他回答的评论：

• Microsoft.AspNet.Identity.PasswordHasher : IPasswordHasher 已经给你加盐了，
  • 更重要的是它使用Rfc2898DeriveBytes 来生成盐和哈希，
  • 使用行业标准 PBKDF2 (SE discussion here, OWASP recommendation for PBKDF2 here)。
• 默认的Microsoft.AspNet.Identity.UserManager<TUser>实现使用Microsoft.AspNet.Identity.PasswordHasher作为具体的IPasswordHasher
• PasswordHasher 反过来是（最终）System.Security.Cryptography.Rfc2898DeriveBytes 的一个非常简单的包装器

所以，如果您要使用Rfc2898DeriveBytes，只需使用PasswordHasher - 所有繁重的工作已经为您完成（希望是正确的）。

详情

PasswordHasher（当前）最终使用的完整代码非常接近：

int saltSize = 16;
int bytesRequired = 32;
byte[] array = new byte[1 + saltSize + bytesRequired];
int iterations = SOME; // 1000, afaik, which is the min recommended for Rfc2898DeriveBytes
using (var pbkdf2 = new Rfc2898DeriveBytes(password, saltSize, iterations))
{
    byte[] salt = pbkdf2.Salt;        
    Buffer.BlockCopy(salt, 0, array, 1, saltSize);
    byte[] bytes = pbkdf2.GetBytes(bytesRequired);
    Buffer.BlockCopy(bytes, 0, array, saltSize+1, bytesRequired);
}
return Convert.ToBase64String(array);

Answer 2

“是否可以使用密码加盐来实现更安全的加密 ASP.net Identity 和通过这个接口？”

是的，该接口是为 Core 框架中已经存在的 PasswordHasher 的新实现提供的。

另请注意，默认实现已经在使用 Salt+Bytes。

创建自定义PasswordHasher（比如MyPasswordHasher）后，您可以将其分配给UserManager 实例，例如userManager.PasswordHasher=new MyPasswordHasher()

See one example of such IPasswordHasher

要使用接口实现自定义系统（而不是使用 MVC 5 模板中包含的标准实体框架实现），需要 IPasswordHasher。

为了从 EF 实现备用系统， - 您应实现所有核心接口。 - 不需要 IPasswordHasher 实现。 PasswordHasher 已经在 Core 框架中提供，因为它的实现。

Answer 3

我在从 Membership 更新到 AspNet.Identity 时遇到了问题。 Rfc2898 哈希与以前使用的不同。这是有充分理由的，但更改哈希值需要所有用户重置密码。作为一种解决方案，此自定义实现使其向后兼容：

public class MyPasswordHasher : PasswordHasher {

   public FormsAuthPasswordFormat FormsAuthPasswordFormat { get; set; }

   public MyPasswordHasher(FormsAuthPasswordFormat format) {
      FormsAuthPasswordFormat = format;
   }

   public override string HashPassword(string password) {
      return FormsAuthentication.HashPasswordForStoringInConfigFile(password, FormsAuthPasswordFormat.ToString());
   }

   public override PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword) {
     var testHash = FormsAuthentication.HashPasswordForStoringInConfigFile(providedPassword, FormsAuthPasswordFormat.ToString());
     return hashedPassword.Equals(testHash) ? PasswordVerificationResult.Success : PasswordVerificationResult.Failed;
   }
}

创建 UserManager 实例后，只需设置哈希：

Usermanager.PasswordHasher = new MyPasswordHasher(FormsAuthPasswordFormat.SHA1);

代码抱怨 HashPasswordForStoringInConfigFile 方法已被弃用，但这很好，因为我们知道整个练习是为了摆脱旧技术。