0
以下のURLで、RijndaelとAsp.netのハッシング実装について、以下のサイトを参照しました。Asp.netアイデンティティハッシングはセキュリティ保護されていますか?
- Rijndaelの - パスワードのランダムバイトを取得するために使用され、次の実装の両方でASP.NET Identity default Password Hasher, how does it work and is it secure?
、 - How to generate Rijndael KEY and IV using a passphrase?
Rfc2898DeriveBytes pdb = new Rfc2898DeriveBytes(password, SALT);
Asp.netアイデンティティは、上記のコードの後に
Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(providedPassword, salt, HasingIterationsCount)
ハッシング、ラインダールは、返されたバイトの暗号化を適用します。 しかし、asp.netのアイデンティティは、saltバイト配列をそのままコピーし、ハッシュされたキーを返します。
ここで私は混乱しました。 RijnDaelとAsp.netのIDハッシュは同じものを使用しますRfc2898DeriveBytes。
RijnDaelが(Rfc2898DeriveBytesの助けを借りて行われる)暗号化されたキーを復号化できる場合、なぜAsp.net Identityハッシュキーの復号化を行うことができますか?
これを行う可能性はありますか? Asp.netのIDは保護されていますか?
1)作成されたと思ったことはすべて壊れる可能性があります - それは人生のルールです。したがって、asp.identity暗号化キーをどのように解読するかを理解するよりも、asp.identity暗号化キーをどのように把握すればよいでしょうか。 2)入力パスワードを暗号化する独自のアルゴリズムを作成し、このハッシュ文字列をAsp.netに送信してもう一度暗号化するよりも、ユーザーのパスワードをより安全にしたい場合。 3)ユーザー入力パスワードがデータベースにあるものと同じであるかどうかを確認する場合は、入力を暗号化し、このハッシュと既にデータベースに入っているハッシュとを比較する必要があります – DespeiL
パスワードをハッシュする前に、セキュリティのための良いアイデアでしょうか? –
"RijnDaelが暗号化されたキーを解読できるとき"。いいえ、ハッシュされたパスワードを解読することはできません。ハッシュと暗号を混同しますか? – Martheen