パスワードを暗号化する

Question

私は自分のアプリに「ログイン」しようとしていて、自分のデータベースに入力するユーザーのパスワードを暗号化する最良の方法はなんですか？私はGoogleで多くの方法を見つけましたが、どれがベストであるか分かりません。

Answer 1

私は片道で行くだろうsalted hash

たとえば、SHA1ハッシュを使用すると、パスワードを元のパスワードに戻すことができないハッシュとして保存する方法があります。ユーザーがパスワードを入力すると、パスワードに同じSHA1ハッシュを実行し、DBに格納されているものとそのハッシュを比較します。一致した場合は、パスワードが正しいことになります。

ハッシュをさらに安全にするには、塩を追加することができます。これは基本的にランダムに生成された値で、ユーザーごとに生成し、アカウントを作成してユーザーレコードに保存します。パスワードのハッシュを作成するときは、最初にパスワードと塩を結合し、この結合された値をハッシュします。ユーザーを認証するには、入力されたパスワードとユーザー用に保存されたsaltを結合し、結合された値に対してハッシュを実行して比較します。

塩をミックスに追加することで、塩分の部分が異なるため、同じになる可能性のあるパスワードのハッシュが異なるハッシュになるようにします。したがって、2人のユーザーが同じパスワード「Password1234」を持っている場合、2つのユーザーの格納されたハッシュは同じではないため、2人のユーザーが同じパスワードを持つことは確認できません。

の.NET Frameworkが提供する

Answer 2

使用暗号アルゴリズム

は通常、多くのアプリケーションは

See here

Answer 3

MD5のalgorithemを使用して、私はそれは良い標準化されたキー導出-機能を使用していますRfc2898DeriveBytes

を使用することをお勧めします、そして現代のハッシュ。レインボーテーブルを防ぐために、パスワードに加えて塩を渡す必要があります。そして、それはあなたのために塩とパスワードを混ぜるので、自分でそれをする方法を理解する必要はありません。

Answer 4

bcryptを使用してください。いいえ、実際には、独自の方法を構築するためのアイデアを一切削除してください。use bcrypt世界にはすでに自宅で安全でないパスワードハッシングスキームがあります。

もちろん、ユーザーごとの塩を使って塩漬けされたパスワードハッシュを保存すると、すべてうまくできています。しかし、塩漬けは虹のテーブル攻撃を防ぐだけであり、暴力を防ぐことはできません。したがって、逆説的に、パスワードハッシュを生成または検証するための高速な方法を使用する必要はありません。 MD5、SHA、何でも - 彼らはすべて高速です。私の後でやり直してください：bcryptを使ってください。

Answer 5

あなたは、RSAアルゴリズムを使用することができます。http://www.codeproject.com/KB/security/RSACryptoPad.aspx