如何正确散列密码

Question

我想重新创建 MyBB 哈希过程，以便我可以使用它的数据库在 3rd 方应用程序（用 C# 编写）上对用户进行身份验证。

MyBB 用途：

md5(md5($salt).password)

我的问题是我在 C# 上得到的结果与 MyBB 得到的结果完全不同。

我在 C# 上做了什么：

public string HashPass(string password, string salt)
{
    MD5 md5 = new MD5CryptoServiceProvider();

    byte[] saltHash =md5.ComputeHash(System.Text.Encoding.ASCII.GetBytes(salt));

    string passwordAndSalt = password + System.Text.Encoding.ASCII.GetString(saltHash);

    byte[] finalHash = md5.ComputeHash(System.Text.Encoding.ASCII.GetBytes(passwordAndSalt));

    string final = System.Text.Encoding.ASCII.GetString(finalHash);
    return final;
}

使用密码“Test123”和盐“0fYR6mEE”（从 MyBB db 收集）的函数得到的结果是：“??R?????s??”而实际结果应该类似于“VaHffsyzJeEa4dB3bbMWeUlJObAfN5I9rf1CuNRXCa6xPJTzXL”。

很可能我遗漏了一些明显的东西，对此感到抱歉。

Answer 1

这里有未知数。 MyBB 对密码字节使用哪种编码？它可以是 ASCII、ANSI 或 UTF8，也可以直接获取字符串字节，即无需编码。所以我会部分写成伪代码

byte[] passwordBytes = GetBytes(password); // Where you have to define GetBytes
byte[] saltBytes = System.Convert.FromBase64String(salt); // Assuming it is given as base64

// Merge the password bytes and the salt bytes
var mergedBytes = new byte[passwordBytes.Length + saltBytes.Length];
Array.Copy(passwordBytes, mergedBytes, passwordBytes.Length);
Array.Copy(saltBytes, 0, mergedBytes, passwordBytes.Length, saltBytes.Length);

var md5 = new MD5CryptoServiceProvider();
byte[] finalHash = md5.ComputeHash(mergedBytes);
string final = System.Convert.ToBase64String(finalHash);        

请注意，我正在合并密码字节和盐字节，而不是密码字符串和盐字符串。然后它只从这些合并的字节中获取一次 MD5。

但我不确定md5(md5($salt).password) 做了什么。 md5() 是否已经将哈希作为 base64 字符串返回？也许您必须将盐从 base64 转换为 bytes[]，然后获取 MD% 哈希，将其转换为 base64 字符串，然后将其与密码字符串连接。然后从这个组合字符串中获取字节，再次进行哈希并将结果再次转换为 base64 字符串。

您必须深入挖掘 MyBB 的源代码才能确定。