当前框架中使用SecureString的部分如下：

• WPF的System.Windows.Controls.PasswordBox控件将密码作为SecureString在内部保存（通过PasswordBox::SecurePassword公开为副本）
• System.Diagnostics.ProcessStartInfo::Password属性是SecureString
• X509Certificate2的构造函数需要一个SecureString作为密码

编辑: 不要使用SecureString

目前的指南表示，不应该再使用这个类。具体细节可以在此链接找到：https://github.com/dotnet/platform-compat/blob/master/docs/DE0001.md

根据这篇文章：

DE0001: 不应使用SecureString

动机

• SecureString 的目的是避免将密钥以明文形式存储在进程内存中。
• 然而，即使在Windows上，SecureString 也不存在于操作系统概念中。
  • 它只是缩短了获取明文的窗口时间；因为.NET仍然需要将字符串转换为明文表示形式， 所以它并没有完全防止明文泄露。
  • 好处是明文表示形式不会一直存在于System.String的实例中——本地缓冲区的寿命更短。
• 数组的内容除了.NET Framework外都是未加密的。
  • 在.NET Framework中，内部字符数组的内容是加密的。 .NET并不支持所有环境中的加密，可能是因为缺少API或密钥管理问题等原因。

建议

不要在新代码中使用SecureString。在将代码移植到.NET Core时，请考虑数组的内容在内存中是未加密的。

处理凭据的一般方法是避免使用它们，而是使用安全的标识和访问控制方案。

编辑后：以下是原始摘要

有很多好的答案；这里是对讨论内容的快速概述。

微软已经实现了SecureString类，以提供更好的安全性和敏感信息（如信用卡、密码等）。它自动提供：

• 加密（以防止内存转储或页面缓存）
• 在内存中固定
• 能够标记为只读（以防止进一步修改）
• 通过不允许传递常量字符串来实现安全构造

目前，SecureString的使用受到限制，但未来可以预期更好的采用。

基于此信息，SecureString的构造函数不应该仅接受一个字符串并将其切分为字符数组，因为拼写出字符串会使SecureString失去意义。

其他信息：

• 来自.NET Security博客的帖子，讨论了与此处涵盖的大致相同的问题。
• 还有另一个帖子，重新审视它并提到一个可以转储SecureString内容的工具。

编辑：我发现很难选择最佳答案，因为许多答案都有很好的信息；太糟糕了，没有辅助回答选项。

简短回答

why can't I just say:

SecureString password = new SecureString("password");

现在您的内存中有一个 password，却没有办法将其清除 - 这正是SecureString存在的原因。

详细回答

SecureString 存在的原因是因为在使用CLR时无法使用 ZeroMemory 来清除敏感数据。它的存在是为了解决由 CLR 引起的问题。

在普通的本机应用程序中，您将调用 SecureZeroMemory：

用零填充一块内存。

注意：SecureZeroMemory 与ZeroMemory相同，只是编译器不会将其优化掉。

//Wipe out the password
for (int i=0; i<password.Length; i++)
   password[i] = \0;

那么你能做什么呢？当我们使用完一个密码或信用卡号时，如何在 .NET 中提供清除内存的能力呢？

唯一的方法是将字符串放在某个本地内存块中，例如：

• BSTR
• HGLOBAL
• CoTaskMem 非托管内存

然后可以调用 ZeroMemory。.NET 中的字符串无法在使用完毕后被清除:

• 它们是不可变的；您无法覆盖其内容
• 您无法 Dispose 它们
• 它们的清理取决于垃圾回收器

SecureString 存在作为一种安全传递字符串的方式，并且能够在需要时保证其清理。

你问了这个问题：

why can't I just say:

SecureString password = new SecureString("password");

String connectionString = secureConnectionString.ToString()

• SecureStringToBSTR (使用 ZeroFreeCoTaskMemUnicode 释放)
• SecureStringToCoTaskMemUnicode (使用 ZeroFreeCoTaskMemUnicode 释放)
• SecureStringToGlobalAllocUnicode (使用 ZeroFreeGlobalAllocUnicode 释放)

SqlCredential cred = new SqlCredential(userid, password); //password is SecureString
SqlConnection conn = new SqlConnection(connectionString);
conn.Credential = cred;
conn.Open();

您还可以在连接字符串中更改密码：

SqlConnection.ChangePassword(connectionString, cred, newPassword);

有许多.NET内部的地方仍然接受普通字符串以保持兼容性，然后迅速将其放入SecureString中。

如何将文本放入SecureString中？

这仍然存在一个问题:

我该如何首先将密码存入SecureString中？

这是一个挑战，但关键是让您思考安全性。

有时功能已经为您提供。例如，WPF PasswordBox控件可以直接将输入的密码作为SecureString返回：

PasswordBox.SecurePassword Property

获取PasswordBox当前保存的密码作为SecureString。

• SecureStringToBSTR
• PtrToStringBSTR

private static string CreateString(SecureString secureString)
{
    IntPtr intPtr = IntPtr.Zero;
    if (secureString == null || secureString.Length == 0)
    {
        return string.Empty;
    }
    string result;
    try
    {
        intPtr = Marshal.SecureStringToBSTR(secureString);
        result = Marshal.PtrToStringBSTR(intPtr);
    }
    finally
    {
        if (intPtr != IntPtr.Zero)
        {
            Marshal.ZeroFreeBSTR(intPtr);
        }
    }
    return result;
}

他们真的不希望你这样做。

但是，如何将字符串转换为SecureString？首先，你需要停止在String中拥有密码。你需要将它放到其他地方，即使是Char[]数组也会有所帮助。

这时，当你完成操作后，你可以添加每个字符并清除明文：

for (int i=0; i < PasswordArray.Length; i++)
{
   password.AppendChar(PasswordArray[i]);
   PasswordArray[i] = (Char)0;
}

简单来说： SecureString 旨在提供与 ZeroMemory 相同的功能。

有些人不明白为什么需要在设备锁定后从内存中擦除用户密码或在身份验证后擦除按键记录，这些人不使用 SecureString。

在当前的框架版本中，使用SecureString的情景非常少。它只有在与未管理的API交互时才真正有用 - 您可以使用Marshal.SecureStringToGlobalAllocUnicode进行封送。

一旦您将其转换为System.String，就已经失去了其目的。

MSDN示例逐个字符地从控制台输入生成SecureString，并将安全字符串传递给未管理的API。这相当复杂和不切实际。

您可能期望将来的.NET版本会更多地支持SecureString，使其更加有用，例如：

• SecureString Console.ReadLineSecure()或类似方法可将控制台输入读入SecureString，而无需在示例中编写冗长代码。

• WinForms TextBox替代品，将其TextBox.Text属性存储为安全字符串，以便可以安全地输入密码。

• 扩展安全相关的API，允许将密码作为SecureString传递。

若没有上述特性，SecureString的价值将受到限制。

微软发现在某些导致服务器（桌面电脑等）崩溃的情况下，有时运行环境会进行内存转储，暴露出内存中的内容。Secure String会在内存中对其进行加密，以防止攻击者能够检索到字符串的内容。

SecureString的一个重要优点是它可以避免由于页面缓存而导致数据存储到磁盘的可能性。如果您在内存中有一个密码，然后加载一个大型程序或数据集，当您的程序从内存中换页时，您的密码可能会被写入交换文件。至少使用SecureString，数据不会以明文形式无限期地存储在您的磁盘上。

我建议停止使用 SecureString。看起来 PG 团队正在放弃支持它。未来甚至可能会撤回它 - https://github.com/dotnet/apireviews/tree/master/2015-07-14-securestring。

我们应该在 .NET Core 上删除 SecureString 的加密 - 我们应该淘汰 SecureString - 我们可能不应该在 .NET Core 中公开 SecureString

我想这是因为该字符串是安全的，即黑客不能读取它。如果您使用字符串初始化它，则黑客可以读取原始字符串。

根据描述，该值被加密存储，这意味着您的进程的内存转储不会显示字符串的值（除非进行相当严重的工作）。

您不能仅从常量字符串构造SecureString的原因是，那样您将在内存中拥有未加密的字符串版本。限制您逐步创建字符串可减少一次性在内存中拥有整个字符串的风险。