欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

C# salt+hash 加密

程序员文章站 2022-06-24 23:20:59
一、先明确几个基本概念 1、伪随机数:pseudo-random number generators ,简称为:prngs,是计算机利用一定的算法来产生的。伪随机数并不是...

一、先明确几个基本概念

1、伪随机数:pseudo-random number generators ,简称为:prngs,是计算机利用一定的算法来产生的。伪随机数并不是假随机数,这里的“伪”是有规律的意思,就  是计算机产生的伪随机数既是随机的又是有规律的。怎样理解呢?产生的伪随机数有时遵守一定的规律,有时不遵守任何规律;伪随机数有一部分遵守一定的规律;另一部分不遵守任何规律。比如“世上没有两片形状完全相同的树叶”,这正是点到了事物的特性,即随机性,但是每种树的叶子都有近似的形状,这正是事物的共性,即规律性。从这个角度讲,你大概就会接受这样的事实了:计算机只能产生伪随机数而不能产生绝对随机的随机数。

2、真随机数:true random number generators ,简称为:trngs,是利用不可预知的物理方式来产生的随机数。

3、明文:原始密码,未经过任何算法加密的密码。

4、密文:原始密码经过某种算法加密后,形成的密码。

二、c# salt+hash加密规则

规则:salt伪随机值+原始密码,即salt伪随机值与原始密码组合成明文,然后经过hash算法形成密文,如:

      假设salt产生的伪随机数为:9de74893-0b41-4f4e-91dc-06f62241b8bc

      原始明文为:admin

      组合规则:原始明文+salt伪随机值,即admin9de74893-0b41-4f4e-91dc-06f62241b8bc

      hash加密后密文:urffo/iwz912e2gxl4kiczbosuz6tdlpmk7ldrvvdyk=

      数据库表结果如下:

C# salt+hash 加密

三、c# salt产生伪随机数原理

   第一步:引入命名空间 using system;

   第二步:调用结构体guid的newguid()方法;

   第三步:代码表示 string strsalt = guid.newguid().tostring(); 

   注释:当然,也可以调用类random下的方法来产生伪随机数。

四、hash原理

hash是一种不可逆加密算法,c# hash算法比较多,列举几种如下:

   1、md5

   2、sha家族:这里顺便提一下,美国*以前广泛采用sha-1算法,在2005年被我国山东大学的王小云教授发现了安全漏洞,所以现在比较常用sha-1加长的变种,比如sha-256。在.net中,可以使用sha256managed类

   3、关键代码如下:

 protected void btnregister_click(object sender, eventargs e)
 {
  //用户名和密码
  string username = this.textboxusername.text;
  string userpwd = this.textboxpwd.text;
  //salt
  string strsalt= guid.newguid().tostring();
  //sha256加密
  byte[] pwdandsalt = encoding.utf8.getbytes(userpwd + strsalt);
  byte[] hashbytes = new sha256managed().computehash(pwdandsalt);
  string hashstr = convert.tobase64string(hashbytes);
  stringbuilder strbuid = new stringbuilder();
  strbuid.append("insert into userinfo(");
  strbuid.append("username,userpassword,salt) values(");
  strbuid.append("@username,@hashstr,@strsalt)");
  sqlparameter[] sqlpara = {
      new sqlparameter("@username",sqldbtype.nvarchar,50),
      new sqlparameter("@hashstr",sqldbtype.nvarchar,50),
      new sqlparameter("@strsalt",sqldbtype.nvarchar,50)
     };
  sqlpara[0].value = this.textboxusername.text;
  sqlpara[1].value = hashstr;
  sqlpara[2].value = strsalt;
  //获取连接字符串
  string sqlconstr = configurationmanager.connectionstrings["constr"].connectionstring;
  using (sqlconnection con=new sqlconnection(sqlconstr))
  {
  con.open();
  sqlcommand cmd = new sqlcommand(strbuid.tostring(),con);
  cmd.parameters.addrange(sqlpara);
  if (cmd.executenonquery()>0)
  {
   response.write("<script>alert('注册成功!')</script>");
  }
  else
  {
   response.write("<script>alert('注册失败!')</script>");
  }
   
  }
 }

五、c#常见加密算法

md5加密、sha家族加密、rsa加密、des加密,目前主流加密为rsa,如数字签名等,在本篇博客中,就不论述,以后会对这四类算法作详细论述。

六、常见密码破解算法(引用)

最简单、常见的破解方式当属字典破解(dictionary attack)和暴力破解(brute force attack)方式。这两种方法说白了就是猜密码。

C# salt+hash 加密

字典破解和暴力破解都是效率比较低的破解方式。如果你知道了数据库中密码的哈希值,你就可以采用一种更高效的破解方式,查表法(lookup tables)。还有一些方法,比如逆向查表法(reverse lookup tables)、彩虹表(rainbow tables)等,都和查表法大同小异。现在我们来看一下查表法的原理。

查表法不像字典破解和暴力破解那样猜密码,它首先将一些比较常用的密码的哈希值算好,然后建立一张表,当然密码越多,这张表就越大。当你知道某个密码的哈希值时,你只需要在你建立好的表中查找该哈希值,如果找到了,你就知道对应的密码了。

C# salt+hash 加密

七、为什么使用hash来加密(引用)

如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码。

C# salt+hash 加密

解决的办法是将密码加密后再存储进数据库,比较常用的加密方法是使用哈希函数(hash function)。哈希函数的具体定义,大家可以在网上或者相关书籍中查阅到,简单地说,它的特性如下:

(1)原始密码经哈希函数计算后得到一个哈希值

(2)改变原始密码,哈希函数计算出的哈希值也会相应改变

(3) 同样的密码,哈希值也是相同的

(4) 哈希函数是单向、不可逆的。也就是说从哈希值,你无法推算出原始的密码是多少

有了哈希函数,我们就可以将密码的哈希值存储进数据库。用户登录网站的时候,我们可以检验用户输入密码的哈希值是否与数据库中的哈希值相同。

C# salt+hash 加密

由于哈希函数是不可逆的,即使有人打开了数据库,也无法看到用户的密码是多少。

那么存储经过哈希函数加密后的密码是否就是安全的了呢?参照六、发现并不安全,只有加上salt才安全,因为salt是随机生成的。

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,同时也希望多多支持!