0
다음 url에서 Rijndael 및 Asp.net 해시 구현에 대한 다음 사이트를 참조했습니다.Asp.net ID 해싱 보안이 설정되어 있습니까?
- Rijndael을 - 다음은 암호를 임의 바이트를 가져 오는 데 사용됩니다 다음 구현 모두에서 ASP.NET Identity default Password Hasher, how does it work and is it secure?
, - How to generate Rijndael KEY and IV using a passphrase?
Rfc2898DeriveBytes pdb = new Rfc2898DeriveBytes(password, SALT);
Asp.net 신원은 상기 코드 뒤에
Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(providedPassword, salt, HasingIterationsCount)
해싱 Rijndael을 반환 된 바이트에 대한 암호화를 적용한다. 그러나 asp.net ID 소금 바이트 배열로 결과를 복사하고 해시 된 키를 반환하십시오.
여기 혼란이있었습니다. RijnDael 및 Asp.net ID 해싱은 동일한 Rfc2898DeriveBytes을 사용합니다.
RijnDael이 Rfc2898DeriveBytes의 도움으로 수행되는 암호화 된 키를 해독 할 수있는 경우 왜 Asp.net Identity 해시 키를 해독 할 수 있습니까?
그럴 가능성이 있습니까? Asp.net 신원은 안전합니까?
1) 만들어진 모든 생각은 파산 될 수 있다고 생각합니다. 그것은 삶의 규칙입니다. 따라서 asp.identity 암호화 키를 어떻게 해독하는지보다 더 알아낼 수 있습니다. 2) 입력 암호를 암호화하고이 해시 문자열을 Asp.net으로 보내면 암호를 한 번 더 암호화하는 자체 알고리즘을 만드는 것보다 사용자 암호를 더 잘 보호 할 수 있습니다. 3) 사용자 입력 암호가 데이터베이스에있는 것과 동일한 지 확인하려면 입력을 암호화하고이 해시를 이미 데이터베이스에있는 해시와 비교해야합니다. – DespeiL
따라서 암호를 해싱하기 전에 암호를 암호화 한 다음 해시를 수행하십시오 보안에 좋은 아이디어일까요? –
"RijnDael이 암호화 된 키를 해독 할 수있는 경우". 아니요, 해시 된 비밀번호를 해독 할 수 없습니다. 해싱과 암호화를 혼동합니까? – Martheen