উত্তর:
আপডেট : এই উত্তরটি গুরুতরভাবে প্রকাশিত । পরিবর্তে https://stackoverflow.com/a/10402129/251311 থেকে সুপারিশগুলি ব্যবহার করুন ।
আপনি হয় ব্যবহার করতে পারেন
var md5 = new MD5CryptoServiceProvider();
var md5data = md5.ComputeHash(data);অথবা
var sha1 = new SHA1CryptoServiceProvider();
var sha1data = sha1.ComputeHash(data);dataবাইট অ্যারে হিসাবে আপনি ব্যবহার করতে পারেন হিসাবে পেতে
var data = Encoding.ASCII.GetBytes(password);এবং থেকে ফিরে স্ট্রিং পেতে md5dataবাsha1data
var hashedPassword = ASCIIEncoding.GetString(md5data);md5প্রায় সব ধরণের কাজের জন্যই যথেষ্ট ভাল। এর দুর্বলতাগুলি খুব নির্দিষ্ট পরিস্থিতিগুলিকেও বোঝায় এবং প্রায় আক্রমণকারীকে ক্রিপ্টোগ্রাফি সম্পর্কে অনেক কিছু জানার প্রয়োজন হয় to
এখানে অন্যান্য উত্তরগুলির বেশিরভাগই আজকের সেরা অনুশীলনের সাথে কিছুটা পুরানো। যেমন Rfc2898DeriveBytesপাসওয়ার্ডগুলি সংরক্ষণ এবং যাচাই করতে PBKDF2 / ব্যবহার করার আবেদন এখানে । নিম্নলিখিত কোডটি এই পোস্টে একটি একা ক্লাসে রয়েছে: একটি সল্ট পাসওয়ার্ড হ্যাশ কীভাবে সংরক্ষণ করবেন তার আরেকটি উদাহরণ । বেসিকগুলি সত্যই সহজ, সুতরাং এখানে এটি ভেঙে গেছে:
পদক্ষেপ 1 একটি ক্রিপ্টোগ্রাফিক PRNG দিয়ে লবণের মান তৈরি করুন:
byte[] salt;
new RNGCryptoServiceProvider().GetBytes(salt = new byte[16]);পদক্ষেপ 2 আরএফসি 2898 ডেরিভাইটগুলি তৈরি করুন এবং হ্যাশটির মান পান:
var pbkdf2 = new Rfc2898DeriveBytes(password, salt, 100000);
byte[] hash = pbkdf2.GetBytes(20);পদক্ষেপ 3 পরবর্তী ব্যবহারের জন্য লবণ এবং পাসওয়ার্ড বাইট একত্রিত করুন:
byte[] hashBytes = new byte[36];
Array.Copy(salt, 0, hashBytes, 0, 16);
Array.Copy(hash, 0, hashBytes, 16, 20);পদক্ষেপ 4 সংযুক্ত লবণ + হ্যাশটিকে স্টোরেজের জন্য স্ট্রিংয়ে পরিণত করুন
string savedPasswordHash = Convert.ToBase64String(hashBytes);
DBContext.AddUser(new User { ..., Password = savedPasswordHash });পদক্ষেপ 5 একটি সঞ্চিত পাসওয়ার্ডের বিরুদ্ধে ব্যবহারকারী-প্রবেশ করা পাসওয়ার্ড যাচাই করুন
/* Fetch the stored value */
string savedPasswordHash = DBContext.GetUser(u => u.UserName == user).Password;
/* Extract the bytes */
byte[] hashBytes = Convert.FromBase64String(savedPasswordHash);
/* Get the salt */
byte[] salt = new byte[16];
Array.Copy(hashBytes, 0, salt, 0, 16);
/* Compute the hash on the password the user entered */
var pbkdf2 = new Rfc2898DeriveBytes(password, salt, 100000);
byte[] hash = pbkdf2.GetBytes(20);
/* Compare the results */
for (int i=0; i < 20; i++)
if (hashBytes[i+16] != hash[i])
throw new UnauthorizedAccessException();দ্রষ্টব্য: আপনার নির্দিষ্ট অ্যাপ্লিকেশনটির কার্য সম্পাদনের প্রয়োজনীয়তার উপর নির্ভর করে মান 100000হ্রাস করা যেতে পারে। সর্বনিম্ন মানটি প্রায় হওয়া উচিত 10000।
Csharptest.net এর দুর্দান্ত উত্তরের ভিত্তিতে আমি এর জন্য একটি ক্লাস লিখেছি:
public static class SecurePasswordHasher
{
/// <summary>
/// Size of salt.
/// </summary>
private const int SaltSize = 16;
/// <summary>
/// Size of hash.
/// </summary>
private const int HashSize = 20;
/// <summary>
/// Creates a hash from a password.
/// </summary>
/// <param name="password">The password.</param>
/// <param name="iterations">Number of iterations.</param>
/// <returns>The hash.</returns>
public static string Hash(string password, int iterations)
{
// Create salt
byte[] salt;
new RNGCryptoServiceProvider().GetBytes(salt = new byte[SaltSize]);
// Create hash
var pbkdf2 = new Rfc2898DeriveBytes(password, salt, iterations);
var hash = pbkdf2.GetBytes(HashSize);
// Combine salt and hash
var hashBytes = new byte[SaltSize + HashSize];
Array.Copy(salt, 0, hashBytes, 0, SaltSize);
Array.Copy(hash, 0, hashBytes, SaltSize, HashSize);
// Convert to base64
var base64Hash = Convert.ToBase64String(hashBytes);
// Format hash with extra information
return string.Format("$MYHASH$V1${0}${1}", iterations, base64Hash);
}
/// <summary>
/// Creates a hash from a password with 10000 iterations
/// </summary>
/// <param name="password">The password.</param>
/// <returns>The hash.</returns>
public static string Hash(string password)
{
return Hash(password, 10000);
}
/// <summary>
/// Checks if hash is supported.
/// </summary>
/// <param name="hashString">The hash.</param>
/// <returns>Is supported?</returns>
public static bool IsHashSupported(string hashString)
{
return hashString.Contains("$MYHASH$V1$");
}
/// <summary>
/// Verifies a password against a hash.
/// </summary>
/// <param name="password">The password.</param>
/// <param name="hashedPassword">The hash.</param>
/// <returns>Could be verified?</returns>
public static bool Verify(string password, string hashedPassword)
{
// Check hash
if (!IsHashSupported(hashedPassword))
{
throw new NotSupportedException("The hashtype is not supported");
}
// Extract iteration and Base64 string
var splittedHashString = hashedPassword.Replace("$MYHASH$V1$", "").Split('$');
var iterations = int.Parse(splittedHashString[0]);
var base64Hash = splittedHashString[1];
// Get hash bytes
var hashBytes = Convert.FromBase64String(base64Hash);
// Get salt
var salt = new byte[SaltSize];
Array.Copy(hashBytes, 0, salt, 0, SaltSize);
// Create hash with given salt
var pbkdf2 = new Rfc2898DeriveBytes(password, salt, iterations);
byte[] hash = pbkdf2.GetBytes(HashSize);
// Get result
for (var i = 0; i < HashSize; i++)
{
if (hashBytes[i + SaltSize] != hash[i])
{
return false;
}
}
return true;
}
}ব্যবহার:
// Hash
var hash = SecurePasswordHasher.Hash("mypassword");
// Verify
var result = SecurePasswordHasher.Verify("mypassword", hash);একটি নমুনা হ্যাশ এটি হতে পারে:
$MYHASH$V1$10000$Qhxzi6GNu/Lpy3iUqkeqR/J1hh8y/h5KPDjrv89KzfCVrubnআপনি দেখতে পাচ্ছেন, সহজ ব্যবহারের জন্য আমি হ্যাশটিতে পুনরাবৃত্তিগুলিও অন্তর্ভুক্ত করেছি এবং যদি আমাদের আপগ্রেড করতে হয় তবে এটি আপগ্রেড করার সম্ভাবনাও রয়েছে।
আপনি যদি নেট নেট সম্পর্কে আগ্রহী হন তবে আমার কাছে কোড রিভিউতে । নেট কোর সংস্করণও রয়েছে ।
V1এবং আপনার V2যা যাচাইকরণের পদ্ধতির ভিত্তিতে আপনি সিদ্ধান্ত নেবেন ।
আমি আমার পাসওয়ার্ড এনক্রিপশনের জন্য একটি হ্যাশ এবং একটি লবণ ব্যবহার করি (এটি একই হ্যাশ যা অ্যাস্প। নেট সদস্যতা ব্যবহার করে):
private string PasswordSalt
{
get
{
var rng = new RNGCryptoServiceProvider();
var buff = new byte[32];
rng.GetBytes(buff);
return Convert.ToBase64String(buff);
}
}
private string EncodePassword(string password, string salt)
{
byte[] bytes = Encoding.Unicode.GetBytes(password);
byte[] src = Encoding.Unicode.GetBytes(salt);
byte[] dst = new byte[src.Length + bytes.Length];
Buffer.BlockCopy(src, 0, dst, 0, src.Length);
Buffer.BlockCopy(bytes, 0, dst, src.Length, bytes.Length);
HashAlgorithm algorithm = HashAlgorithm.Create("SHA1");
byte[] inarray = algorithm.ComputeHash(dst);
return Convert.ToBase64String(inarray);
}public class CryptographyProcessor
{
public string CreateSalt(int size)
{
//Generate a cryptographic random number.
RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
byte[] buff = new byte[size];
rng.GetBytes(buff);
return Convert.ToBase64String(buff);
}
public string GenerateHash(string input, string salt)
{
byte[] bytes = Encoding.UTF8.GetBytes(input + salt);
SHA256Managed sHA256ManagedString = new SHA256Managed();
byte[] hash = sHA256ManagedString.ComputeHash(bytes);
return Convert.ToBase64String(hash);
}
public bool AreEqual(string plainTextInput, string hashedInput, string salt)
{
string newHashedPin = GenerateHash(plainTextInput, salt);
return newHashedPin.Equals(hashedInput);
}
}@ csharptest.net এর এবং ক্রিশ্চিয়ান গোলহার্টের উত্তরগুলি দুর্দান্ত, আপনাকে অনেক ধন্যবাদ। কিন্তু কয়েক মিলিয়ন রেকর্ডের সাথে উত্পাদনে এই কোডটি চালানোর পরে, আমি আবিষ্কার করেছি সেখানে একটি মেমরি ফাঁস রয়েছে। আরএনজিক্রিপ্টো সার্ভিস প্রোভাইডার এবং আরএফসি 2898 ডেরিভ বাইটস ক্লাসগুলি আইডিসপোজেবল থেকে প্রাপ্ত কিন্তু আমরা সেগুলি নিষ্পত্তি করি না। যদি কারও নিষ্পত্তিযোগ্য সংস্করণ প্রয়োজন হয় তবে আমি উত্তর হিসাবে আমার সমাধানটি লিখব।
public static class SecurePasswordHasher
{
/// <summary>
/// Size of salt.
/// </summary>
private const int SaltSize = 16;
/// <summary>
/// Size of hash.
/// </summary>
private const int HashSize = 20;
/// <summary>
/// Creates a hash from a password.
/// </summary>
/// <param name="password">The password.</param>
/// <param name="iterations">Number of iterations.</param>
/// <returns>The hash.</returns>
public static string Hash(string password, int iterations)
{
// Create salt
using (var rng = new RNGCryptoServiceProvider())
{
byte[] salt;
rng.GetBytes(salt = new byte[SaltSize]);
using (var pbkdf2 = new Rfc2898DeriveBytes(password, salt, iterations))
{
var hash = pbkdf2.GetBytes(HashSize);
// Combine salt and hash
var hashBytes = new byte[SaltSize + HashSize];
Array.Copy(salt, 0, hashBytes, 0, SaltSize);
Array.Copy(hash, 0, hashBytes, SaltSize, HashSize);
// Convert to base64
var base64Hash = Convert.ToBase64String(hashBytes);
// Format hash with extra information
return $"$HASH|V1${iterations}${base64Hash}";
}
}
}
/// <summary>
/// Creates a hash from a password with 10000 iterations
/// </summary>
/// <param name="password">The password.</param>
/// <returns>The hash.</returns>
public static string Hash(string password)
{
return Hash(password, 10000);
}
/// <summary>
/// Checks if hash is supported.
/// </summary>
/// <param name="hashString">The hash.</param>
/// <returns>Is supported?</returns>
public static bool IsHashSupported(string hashString)
{
return hashString.Contains("HASH|V1$");
}
/// <summary>
/// Verifies a password against a hash.
/// </summary>
/// <param name="password">The password.</param>
/// <param name="hashedPassword">The hash.</param>
/// <returns>Could be verified?</returns>
public static bool Verify(string password, string hashedPassword)
{
// Check hash
if (!IsHashSupported(hashedPassword))
{
throw new NotSupportedException("The hashtype is not supported");
}
// Extract iteration and Base64 string
var splittedHashString = hashedPassword.Replace("$HASH|V1$", "").Split('$');
var iterations = int.Parse(splittedHashString[0]);
var base64Hash = splittedHashString[1];
// Get hash bytes
var hashBytes = Convert.FromBase64String(base64Hash);
// Get salt
var salt = new byte[SaltSize];
Array.Copy(hashBytes, 0, salt, 0, SaltSize);
// Create hash with given salt
using (var pbkdf2 = new Rfc2898DeriveBytes(password, salt, iterations))
{
byte[] hash = pbkdf2.GetBytes(HashSize);
// Get result
for (var i = 0; i < HashSize; i++)
{
if (hashBytes[i + SaltSize] != hash[i])
{
return false;
}
}
return true;
}
}
}ব্যবহার:
// Hash
var hash = SecurePasswordHasher.Hash("mypassword");
// Verify
var result = SecurePasswordHasher.Verify("mypassword", hash);আমি মনে করি কী-ডেরিভেশন.পিবিকেডিএফ 2 ব্যবহার করা আরএফসি 2898 ডেরিভাইটসের চেয়ে ভাল।
উদাহরণ এবং ব্যাখ্যা: এএসপি.নেট কোরটিতে হ্যাশ পাসওয়ার্ড
using System;
using System.Security.Cryptography;
using Microsoft.AspNetCore.Cryptography.KeyDerivation;
public class Program
{
public static void Main(string[] args)
{
Console.Write("Enter a password: ");
string password = Console.ReadLine();
// generate a 128-bit salt using a secure PRNG
byte[] salt = new byte[128 / 8];
using (var rng = RandomNumberGenerator.Create())
{
rng.GetBytes(salt);
}
Console.WriteLine($"Salt: {Convert.ToBase64String(salt)}");
// derive a 256-bit subkey (use HMACSHA1 with 10,000 iterations)
string hashed = Convert.ToBase64String(KeyDerivation.Pbkdf2(
password: password,
salt: salt,
prf: KeyDerivationPrf.HMACSHA1,
iterationCount: 10000,
numBytesRequested: 256 / 8));
Console.WriteLine($"Hashed: {hashed}");
}
}
/*
* SAMPLE OUTPUT
*
* Enter a password: Xtw9NMgx
* Salt: NZsP6NnmfBuYeJrrAKNuVQ==
* Hashed: /OOoOer10+tGwTRDTrQSoeCxVTFr6dtYly7d0cPxIak=
*/এটি নিবন্ধের একটি নমুনা কোড। এবং এটি ন্যূনতম সুরক্ষা স্তর। এটি বাড়াতে আমি কী-ডেরিভেশনপ্রফ.এইচএমএএসএইচএসএ 1 পরামিতির পরিবর্তে ব্যবহার করব
কীডেরিভিশনপ্রিফ.এইচএমএএসএএসএইচ 256 বা কীডেরিভিশনপ্রিফ। এইচএমএএসএএসএএসএ5512।
পাসওয়ার্ড হ্যাশিংয়ে আপস করবেন না। পাসওয়ার্ড হ্যাশ হ্যাকিংকে অনুকূলিত করার জন্য অনেকগুলি গাণিতিক শব্দ পদ্ধতি রয়েছে। ফলাফল বিপর্যয়কর হতে পারে। একবার কোনও ম্যালফ্যাক্টর আপনার ব্যবহারকারীদের পাসওয়ার্ড হ্যাশ টেবিলে হাত পেতে পারলে তার পক্ষে অ্যালগোরিদম প্রদত্ত পাসওয়ার্ড ক্র্যাক করা তুলনামূলকভাবে সহজ হবে যে দুর্বল বা বাস্তবায়ন ভুল incor পাসওয়ার্ড ক্র্যাক করার জন্য তার অনেক সময় (টাইম এক্স কম্পিউটার পাওয়ার) রয়েছে। "প্রচুর সময়" "" অযৌক্তিক পরিমাণে "পরিণত করতে পাসওয়ার্ড হ্যাশিং ক্রিপ্টোগ্রাফিকভাবে শক্তিশালী হওয়া উচিত ।
যোগ করার জন্য আরও একটি পয়েন্ট
হ্যাশ যাচাইকরণে সময় লাগে (এবং এটি ভাল)। যখন ব্যবহারকারী ভুল ব্যবহারকারীর নাম প্রবেশ করে তখন ব্যবহারকারীর নামটি ভুল কিনা তা যাচাই করতে সময় লাগে না। যখন ব্যবহারকারীর নামটি সঠিক হয় আমরা পাসওয়ার্ড যাচাই শুরু করি - এটি তুলনামূলকভাবে দীর্ঘ প্রক্রিয়া।
একজন হ্যাকারের পক্ষে এটি বোঝা খুব সহজ হবে যে ব্যবহারকারীর উপস্থিতি আছে কি নেই।
ব্যবহারকারীর নাম ভুল হলে অবিলম্বে উত্তর না ফেরানোর বিষয়টি নিশ্চিত করুন।
বলা বাহুল্য: কোনটি ভুল তা কখনই উত্তর দেবেন না। কেবল সাধারণ "শংসাপত্রগুলি ভুল"।
usingবিবৃতিতে রেখেছিলেন বাClear()এটিতে কল করে তা নিশ্চিত করুন।