logo标签列表

使用盐进行安全密码哈希,但将其存储在本地cookie中怎么办?

c#asp.netpasswordscryptography
3
我最近读了一篇有关使用“盐”安全地哈希用户密码的有趣文章。(这是原文 在此, 可惜在发布时似乎已经失效,所以 这里 是缓存版本。)
我完全同意这个概念,但我似乎找不到一种安全存储本地 cookie (或会话) 中用户登录的方法,因为每次都会随机进行盐+PBKDF2 哈希组合。为了更好地理解我的意思,让我从这篇文章中复制 C# 代码。
using System;
using System.Text;
using System.Security.Cryptography;

namespace PasswordHash
{
    /// <summary>
    /// Salted password hashing with PBKDF2-SHA1.
    /// Author: havoc AT defuse.ca
    /// www: http://crackstation.net/hashing-security.htm
    /// Compatibility: .NET 3.0 and later.
    /// </summary>
    class PasswordHash
    {
        // The following constants may be changed without breaking existing hashes.
        public const int SALT_BYTES = 24;
        public const int HASH_BYTES = 24;
        public const int PBKDF2_ITERATIONS = 1000;

        public const int ITERATION_INDEX = 0;
        public const int SALT_INDEX = 1;
        public const int PBKDF2_INDEX = 2;

        /// <summary>
        /// Creates a salted PBKDF2 hash of the password.
        /// </summary>
        /// <param name="password">The password to hash.</param>
        /// <returns>The hash of the password.</returns>
        public static string CreateHash(string password)
        {
            // Generate a random salt
            RNGCryptoServiceProvider csprng = new RNGCryptoServiceProvider();
            byte[] salt = new byte[SALT_BYTES];
            csprng.GetBytes(salt);

            // Hash the password and encode the parameters
            byte[] hash = PBKDF2(password, salt, PBKDF2_ITERATIONS, HASH_BYTES);
            return PBKDF2_ITERATIONS + ":" +
                Convert.ToBase64String(salt) + ":" +
                Convert.ToBase64String(hash);
        }

        /// <summary>
        /// Validates a password given a hash of the correct one.
        /// </summary>
        /// <param name="password">The password to check.</param>
        /// <param name="goodHash">A hash of the correct password.</param>
        /// <returns>True if the password is correct. False otherwise.</returns>
        public static bool ValidatePassword(string password, string goodHash)
        {
            // Extract the parameters from the hash
            char[] delimiter = { ':' };
            string[] split = goodHash.Split(delimiter);
            int iterations = Int32.Parse(split[ITERATION_INDEX]);
            byte[] salt = Convert.FromBase64String(split[SALT_INDEX]);
            byte[] hash = Convert.FromBase64String(split[PBKDF2_INDEX]);

            byte[] testHash = PBKDF2(password, salt, iterations, hash.Length);
            return SlowEquals(hash, testHash);
        }

        /// <summary>
        /// Compares two byte arrays in length-constant time. This comparison
        /// method is used so that password hashes cannot be extracted from
        /// on-line systems using a timing attack and then attacked off-line.
        /// </summary>
        /// <param name="a">The first byte array.</param>
        /// <param name="b">The second byte array.</param>
        /// <returns>True if both byte arrays are equal. False otherwise.</returns>
        private static bool SlowEquals(byte[] a, byte[] b)
        {
            uint diff = (uint)a.Length ^ (uint)b.Length;
            for (int i = 0; i < a.Length && i < b.Length; i++)
                diff |= (uint)(a[i] ^ b[i]);
            return diff == 0;
        }

        /// <summary>
        /// Computes the PBKDF2-SHA1 hash of a password.
        /// </summary>
        /// <param name="password">The password to hash.</param>
        /// <param name="salt">The salt.</param>
        /// <param name="iterations">The PBKDF2 iteration count.</param>
        /// <param name="outputBytes">The length of the hash to generate, in bytes.</param>
        /// <returns>A hash of the password.</returns>
        private static byte[] PBKDF2(string password, byte[] salt, int iterations, int outputBytes)
        {
            Rfc2898DeriveBytes pbkdf2 = new Rfc2898DeriveBytes(password, salt);
            pbkdf2.IterationCount = iterations;
            return pbkdf2.GetBytes(outputBytes);
        }
    }
}

正如你所看到的,验证密码的唯一方法是使用明文密码调用ValidatePassword。在我之前实现纯SHA1的版本中,为了在本地浏览器中存储用户登录信息,我会将该SHA1值放入cookie中,并在每个页面上与服务器上存储的值进行比较。但是,如何使用这种“安全”方法做到同样的事情呢?
有什么想法吗?
2
绝对不要把哈希值存储在Cookie中。 - Oliver Charlesworth
5
我刚意识到这听起来像是毒品笑话,但我完全是认真的... - Oliver Charlesworth
1
您应该确保Cookie已加密。我赞同@OliCharlesworth的看法,但您不应在Cookie中存储哈希值。您可以将Cookie的存在作为用户已登录的标志吗?您可以将已登录用户的用户ID存储在Cookie中,以便在每个请求中,您都可以知道是谁正在浏览。 - Ameen
@user843732:用户登录后,只需设置一个包含一些随机ID的普通cookie即可。但它不需要(也不应该)包含密码哈希值。 - Oliver Charlesworth
2
上面的代码与存储cookie以标记用户已登录的解决方案并不相关,因为不需要进行哈希处理。当您登录用户时,您需要向HTTP响应添加一个cookie。如果您正在使用ASP.NET,则有大量在线示例。只需搜索“表单身份验证”,您就会找到很多。 - Ameen
显示剩余4条评论
3个回答
4
不要将散列密码存储在cookie中,因为这与在cookie中存储密码本身是一样的。如果散列是登录所需的全部内容,那么它就是密码。将用户的密码与随机盐进行哈希的原因不是为了保护登录过程,而是为了保护您的密码表。如果攻击者窃取了您的密码表,并且每个密码没有使用唯一的盐进行哈希,那么他/她很容易破解出许多密码。始终使用唯一的盐来对用户的密码进行哈希。可以将此盐与散列密码一起存储。如果您想以安全的方式使用哈希基于cookie中的数据对用户进行身份验证,则需要采用临时凭据或会话的方法。我能想到的最简单的方法如下:
1.当用户使用密码登录时,创建一个“会话”。分配一个值以唯一标识此会话,存储创建会话的时间(毫秒级别),并创建一个随机值作为盐。
2.使用盐对会话ID进行哈希。将此哈希和会话ID保存在用户的cookie中。
3.每次请求页面时,再次执行哈希并将其与存储在用户cookie中的值进行比较。如果值匹配且自会话创建以来时间不太长,则用户可以查看页面。否则,将其发送到使用密码重新登录。
只是好奇,为什么将存储密码哈希与用户ID的特殊SHA1混合在客户端浏览器cookie中会有问题?(我选择这种方法来减轻服务器和数据库的工作负载。) - c00000fd
如果我理解得正确,那个哈希值可以用来验证和访问用户的内容?任何窃取了用户客户端临时访问权限的攻击者都可以从cookie缓存中窃取哈希值,并永久访问他们的账户。 - Edwin
好观点,但他们也可以用你的方法做同样的事情。我同意时间戳后将使其失效,但那可能足够他们“窃取”他们正在寻找的任何东西了... - c00000fd
1

哈希值存储在服务器上,作为用户身份验证的一部分,当明文密码发送到服务器时,计算出的盐(每个用户一个)存储在安全数据库中,并添加到密码和基于密码+哈希值计算的加密结果中。

Cookie 是错误的方法,因为它们会过期,而且 Web 客户端没有必要知道盐。

密码加盐:最佳实践?

0
通常哈希函数的盐是根据一定规则计算出来的。例如,您可以使用用户标识符作为盐本身。您可以使用“用户名”值在数据库中查找用户,然后使用用户ID作为盐。这样,您就不必在任何地方存储盐,并且每个散列值的盐都是不同的。
不要使用标识符作为盐值。盐值应该始终是一个唯一的值,即一个从未使用过的值。将盐值与哈希值一起存储是完全可以的。 - Edwin
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接