データベースとユーザー入力の暗号化されたパスワードと暗号化の比較

Question

ユーザーのデータベースから挿入した暗号化されたパスワードを比較するにはどうすればよいですか？自分のプログラムをテストしているときに、同じパスワードを持っていても暗号化が異なるアカウントを作成したことに気付きました。ユーザーの入力がデータベースの入力と同じであるかどうかはどのようにわかりますか？ Encryptoはそうしていますか？またはEncryptoにはどちらがどちらであるかを判別する独特の方法がありますか？

このコードではEncryptoを使用していますか？

var hasher = new Hasher(); 

hasher.SaltSize = 16; 

//Encrypts The password 
var encryptedPassword = hasher.Encrypt(txtPass.Text); 

Account newUser = new Account(); 

System.Text.UTF8Encoding encoding=new System.Text.UTF8Encoding(); 

newUser.accnt_User = txtUser.Text; 
newUser.accnt_Position = txtPosition.Text; 
newUser.accnt_Pass = new System.Data.Linq.Binary(encoding.GetBytes(encryptedPassword)); 

Answer 1

2つの同一のパスワードを使用すると、異なるハッシュが発生する可能性があります。これは、Encryptoがハッシュする前にランダムなソルトをパスワードの末尾に追加するためです。

オンデコードコード：source code for Hasher.csをご覧ください。彼らは基本的にハッシュを行うために塩を使い、ハッシュの最後に塩を加えます。これはあなたがDBに保存するものです。

ユーザーが自分のパスワードまたは新規ユーザー登録を設定すると、パスワードをハッシュし

var hasher = new Hasher(); 
hasher.SaltSize = 16; 
var hashedPasswordToStoreInDB = hasher.Encrypt(passwordToSet); 

その後、彼らはあなたがユーザーというパスワードを比較してログインし、パスワードを入力したときにDBに格納しますここでも、この

var hasher = new Hasher(); 
hasher.SaltSize = 16; 
bool areEqual = hasher.CompareStringToHash(enteredPassword, hashFromDatabase); 

のようにDBから取得し、以前にハッシュ化されたバージョンの種類、あなたlook at the source code（Hasher.CompareStringToHash）あなたは、ランダムな塩は保存されたハッシュから回収した後から、新しいハッシュを計算するために使用されていることがわかります場合入力したパスワード。

Answer 2

は私が特別にEncryptoについて知らないが、一般的な原則はこれです：あなたは「塩」、パスワード、それを暗号化し、それをデータベースに格納します。誰かがログインすると、同じことをやり直します：salt、暗号化し、データベースに保存されている他のハッシュと比較します。

2つの同一のパスワードが異なるハッシュをもたらす理由は、塩です。暗号化する前にパスワードを変更するので、ハッシュを見るだけではハッシュメカニズムを理解するのが難しくなります。 saltは、常に同じ（セキュリティが貧弱）、ユーザー名の機能、またはデータベースに暗号化されたパスワードとともに格納されている別のランダムな文字列の関数とすることができます。

Encryptoについてはわかりませんが、ユーザー入力パスワードと比較する場合は、データベースでハッシュを生成するのと同じロジックを使用してください。