Pökeln ein Passwort - gibt es bessere Möglichkeiten als einen Zeitstempel verwendet?
https://stackoverflow.com/questions/3516420
-
29-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich baue derzeit ein paar ASP.NET MVC 2 Seiten, und frage mich, was meine Optionen sind ein Passwort für das Salzen. Mit meiner PHP Arbeit, in der Regel erhalte ich nur den Zeitstempel, wenn ein Benutzer registriert, es dann zu Ende seines Passwort Zeichenkette angehängt, bevor Sie SHA1-Hash der ganze Sache. Mein Instinkt ist, dass dieser Ansatz nicht ausreichend sein kann.
Ich bin ziemlich neu für die Benutzerverwaltung mit ASP.NET sowieso, so dass ich es heraus in meinem Interesse wäre, mit dem besten Praktiken von Anfang an zu beginnen. Ich weiß, dass ASP.NET Web-Formulare haben eingebaute Benutzerverwaltung zur Verfügung, aber ich bin nicht sicher MVC.
Lösung
Der einzige Punkt eines SALT ist Regenbogen-Angriffe zu verhindern, in denen mehrere Benutzer den gleichen Hash für ihr Passwort haben, so erfolgreich ein Passwort Umkehren bedeutet, dass Sie auch wissen, dass es das Passwort für alle anderen mit dem gleichen Hash. Selbst ein einstelliges Salz wird das verhindern, da zwei Benutzer mit demselben Kennwort unterschiedlichen Hashes haben, wenn sie verschiedene Salz haben.
Solange das Salz ist etwas, das nicht ändern, und das ist für jeden Benutzer, wird jeder Wert gut funktionieren. Zeitstempel ihrer Anmeldung, sofern Sie nicht das Feld aktualisieren (die ihr Passwort-Hash ungültig machen würden und ihre Login verhindern) ist eine gute Wahl.
