SHA1ハッシュアルゴリズムの問​​題

Question

私のプログラムにユーザーのパスワードを保存しようとしていますが、プレーンテキストで保存したくありません。したがって、私はそれをハッシュして代わりに保存しています。ユーザーがプログラムの開始時にパスワードを入力する必要がある場合（不正なユーザーから保護するため）、入力されたパスワードをハッシュして2つのハッシュを比較しています。

しかし、次のコードは、入力されたほぼすべてのパスワードに対して同じハッシュを生成しています。誰かが私に次のコードを修正する方法を教えたり、より良いハッシュ関数に向けることができますか？

public static string getSHA1(string userPassword) 
{ 
    return BitConverter.ToString(SHA1Managed.Create().ComputeHash(Encoding.Default.GetBytes(userPassword))).Replace("-", ""); 
} 

ありがとうございます。

Answer 1

私はあなたの機能を新しいプロジェクトに差し込みました。それは問題なく動作していたようですので、そのパスワードがどのように機能に供給されているか確認してください。明示的なコードの代わりにEncoding.Defaultを使用することには注意が必要です。システムに依存していると言われています。

public static string getSHA1(string userPassword) 
    { 
     return Convert.ToBase64String(new SHA1Managed().ComputeHash(Encoding.Unicode.GetBytes(userPassword))); 
    } 

注：

ここで私が作った1だパスワード保存をやって、コメントで指摘したように/このように一致することは悪いです：あなたは、高速ハッシュアルゴリズムを使用している

• 。あなたはbrute-force攻撃を緩和するためにパスワードのハッシュを遅くしたいと思っています。 Bcryptこれは良い仕事です。
• あなたはハッシュをソルトしていません。 Saltingとは、ハッシングに先立っていくつかのランダムなデータをパスワードに追加し、そのハッシュと一緒にランダムなデータを保存することを意味します。これにより、虹のテーブル（巨大なハッシュからパスワードへのマップ）が役に立たなくなります。

Answer 2

あなたは塩漬けSHA512ハッシュ、または、好ましくは、bcryptのを使用する必要があります。この

private static string GetSHA1(string text) 
    { 
     UnicodeEncoding UE = new UnicodeEncoding(); 
     byte[] hashValue; 
     byte[] message = UE.GetBytes(text); 

     SHA1Managed hashString = new SHA1Managed(); 
     string hex = ""; 

     hashValue = hashString.ComputeHash(message); 
     foreach (byte x in hashValue) 
     { 
      hex += String.Format("{0:x2}", x); 
     } 
     return hex; 
    }