C# salt+hash 加密

1   先明確幾個基本概念

  (1)僞隨機數：pseudo-random number generators ，簡稱爲：PRNGs，是計算機利用必定的算法來產生的。僞隨機數並非假隨機

      數，這裏的「僞」是有規律的意思，就  是計算機產生的僞隨機數既是隨機的又是有規律的。怎樣理解呢？產生的僞隨機數有時遵照必定的規律，有

      時不遵照任何規律；僞隨機數有一部分遵照必定的規律；另外一部分不遵照任何規律。好比「世上沒有兩片形狀徹底相同的樹葉」，這正是點到了事

      物的特性，即隨機性，可是每種樹的葉子都有近似的形狀，這正是事物的共性，即規律性。從這個角度講，你大概就會接受這樣的事實了：計算機

      只能產生僞隨機數而不能產生絕對隨機的隨機數。

  (2)真隨機數：true random number generators ，簡稱爲：TRNGs，是利用不可預知的物理方式來產生的隨機數。

  (3)明文：原始密碼，未通過任何算法加密的密碼。

  (4)密文：原始密碼通過某種算法加密後，造成的密碼。

2   C# salt+hash加密規則

   規則：salt僞隨機值+原始密碼，即salt僞隨機值與原始密碼組合成明文，而後通過hash算法造成密文，如：

           假設salt產生的僞隨機數爲：9de74893-0b41-4f4e-91dc-06f62241b8bc

           原始明文爲：admin

           組合規則：原始明文+salt僞隨機值，即admin9de74893-0b41-4f4e-91dc-06f62241b8bc

           hash加密後密文：urfFO/IWz912E2GXL4KiCzbosuZ6TdLpMk7lDRVVdYk=

           數據庫表結果以下：

          

3   C# salt產生僞隨機數原理

   第一步：引入命名空間 using System;

   第二步：調用結構體Guid的NewGuid()方法；

   第三步：代碼表示 string strSalt = Guid.NewGuid().ToString();  

       註釋：固然，也能夠調用類Random下的方法來產生僞隨機數。

4   hash原理

   hash是一種不可逆加密算法，C# HASH算法比較多，列舉幾種以下：

   (1)MD5

   (2)SHA家族：這裏順便提一下，美國政府之前普遍採用SHA-1算法，在2005年被我國山東大學的王小云教授發現了安全漏洞，因此如今比較常

       用SHA-1加長的變種，好比SHA-256。在.NET中，可使用SHA256Managed類

   (3)關鍵代碼以下：

protected void btnRegister_Click(object sender, EventArgs e) { //用戶名和密碼
            string userName = this.TextBoxUserName.Text; string userPwd = this.TextBoxPWD.Text; //salt
            string strSalt= Guid.NewGuid().ToString(); //SHA256加密
            byte[] pwdAndSalt = Encoding.UTF8.GetBytes(userPwd + strSalt); byte[] hashBytes = new SHA256Managed().ComputeHash(pwdAndSalt); string hashStr = Convert.ToBase64String(hashBytes); StringBuilder strBuid = new StringBuilder(); strBuid.Append("INSERT INTO userInfo("); strBuid.Append("userName,userPassword,salt) values("); strBuid.Append("@userName,@hashStr,@strSalt)"); SqlParameter[] sqlpara = { new SqlParameter("@userName",SqlDbType.NVarChar,50), new SqlParameter("@hashStr",SqlDbType.NVarChar,50), new SqlParameter("@strSalt",SqlDbType.NVarChar,50) }; sqlpara[0].Value = this.TextBoxUserName.Text; sqlpara[1].Value = hashStr; sqlpara[2].Value = strSalt; //獲取鏈接字符串
            string sqlConStr = ConfigurationManager.ConnectionStrings["conStr"].ConnectionString; using (SqlConnection con=new SqlConnection(sqlConStr)) { con.Open(); SqlCommand cmd = new SqlCommand(strBuid.ToString(),con); cmd.Parameters.AddRange(sqlpara); if (cmd.ExecuteNonQuery()>0) { Response.Write("<script>alert('註冊成功！')</script>"); } else { Response.Write("<script>alert('註冊失敗！')</script>"); } } }

5   C#常見加密算法

     MD5加密、SHA家族加密、RSA加密、DES加密，目前主流加密爲RSA，如數字簽名等，在本篇博客中，就不論述，之後會對這四類算法做詳細論述。

6   常見密碼破解算法

     最簡單、常見的破解方式當屬字典破解（Dictionary Attack）和暴力破解（Brute Force Attack）方式。這兩種方法說白了就是猜密碼。

 

      字典破解和暴力破解都是效率比較低的破解方式。若是你知道了數據庫中密碼的哈希值，你就能夠採用一種更高效的破解方式，查表法（Lookup Tables）。還有一些方法，好比逆向查表法（Reverse Lookup Tables）、彩虹表（Rainbow Tables）等，都和查表法大同小異。如今咱們來看一下查表法的原理。

     查表法不像字典破解和暴力破解那樣猜密碼，它首先將一些比較經常使用的密碼的哈希值算好，而後創建一張表，固然密碼越多，這張表就越大。當你知道某個密碼的哈希值時，你只須要在你創建好的表中查找該哈希值，若是找到了，你就知道對應的密碼了。

 

7   爲何使用hash來加密

若是你須要保存密碼（好比網站用戶的密碼），你要考慮如何保護這些密碼數據，象下面那樣直接將密碼寫入數據庫中是極不安全的，由於任何能夠打開數據庫的人，都將能夠直接看到這些密碼。

解決的辦法是將密碼加密後再存儲進數據庫，比較經常使用的加密方法是使用哈希函數（Hash Function）。哈希函數的具體定義，你們能夠在網上或者相關書籍中查閱到，簡單地說，它的特性以下：

（1）原始密碼經哈希函數計算後獲得一個哈希值

（2）改變原始密碼，哈希函數計算出的哈希值也會相應改變

（3） 一樣的密碼，哈希值也是相同的

（4） 哈希函數是單向、不可逆的。也就是說從哈希值，你沒法推算出原始的密碼是多少

有了哈希函數，咱們就能夠將密碼的哈希值存儲進數據庫。用戶登陸網站的時候，咱們能夠檢驗用戶輸入密碼的哈希值是否與數據庫中的哈希值相同。

因爲哈希函數是不可逆的，即便有人打開了數據庫，也沒法看到用戶的密碼是多少。

那麼存儲通過哈希函數加密後的密碼是否就是安全的了呢？參照6、發現並不安全，只有加上salt才安全，由於salt是隨機生成的。

8   版權

 

• 感謝您的閱讀，如有不足之處，歡迎指教，共同窗習、共同進步。
• 博主網址：http://www.cnblogs.com/wangjiming/。
• 極少部分文章利用讀書、參考、引用、抄襲、複製和粘貼等多種方式整合而成的，大部分爲原創。
• 如您喜歡，麻煩推薦一下；如您有新想法，歡迎提出，郵箱：2016177728@qq.com。
• 能夠轉載該博客，但必須著名博客來源。