ASP.NET Identity的默认密码哈希器-它如何工作且安全?


162

我想知道MVC 5和ASP.NET Identity Framework随附的UserManager中默认实现的密码哈希器是否足够安全?如果可以的话,如果您能向我解释一下它是如何工作的?

IPasswordHasher接口看起来像这样:

public interface IPasswordHasher
{
    string HashPassword(string password);
    PasswordVerificationResult VerifyHashedPassword(string hashedPassword, 
                                                       string providedPassword);
}

如您所见,它并不需要花很多精力,但是在该线程中提到了这一点:“ Asp.net身份密码哈希 ”确实在后台添加了盐。所以我想知道它是如何做到的?这种盐从哪里来?

我担心的是盐是静态的,使其非常不安全。


我认为这不能直接回答您的问题,但是Brock Allen在这里写了您的一些担忧=> brockallen.com/2013/10/20/…,并且还编写了一个开放源代码的用户身份管理和身份验证库,其中包含各种内容样板功能,例如密码重设,哈希等。github.com/brockallen/BrockAllen.MembershipReboot
Shiva

@Shiva谢谢,我将看一下库和页面上的视频。但是我宁愿不必处理外部库。如果我能避免,那不是。
安德烈Snede科克

2
仅供参考:安全性等同于stackoverflow。因此,尽管您通常会在这里得到一个好的/正确的答案。专家在security.stackexchange.com上, 尤其是“我是否安全”这一评论,我问了类似的问题,答案的深度和质量令人惊讶。
菲尔·索阿迪,

@philsoady谢谢,这当然很有意义,我已经在其他一些“子论坛”上了,如果我没有得到答案,我可以使用,我将移至securiry.stackexchange.com。并感谢您的提示!
安德烈Snede科克

Answers:


227

这是默认实现(ASP.NET FrameworkASP.NET Core)的工作方式。它使用带有随机盐的键派生函数来生成哈希。盐包含在KDF的输出中。因此,每次您“哈希”相同的密码时,您将获得不同的哈希值。为了验证哈希,将输出拆分回salt和其余部分,然后使用指定的salt对密码再次运行KDF。如果结果与其余初始输出匹配,则验证哈希。

散列:

public static string HashPassword(string password)
{
    byte[] salt;
    byte[] buffer2;
    if (password == null)
    {
        throw new ArgumentNullException("password");
    }
    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, 0x10, 0x3e8))
    {
        salt = bytes.Salt;
        buffer2 = bytes.GetBytes(0x20);
    }
    byte[] dst = new byte[0x31];
    Buffer.BlockCopy(salt, 0, dst, 1, 0x10);
    Buffer.BlockCopy(buffer2, 0, dst, 0x11, 0x20);
    return Convert.ToBase64String(dst);
}

验证中:

public static bool VerifyHashedPassword(string hashedPassword, string password)
{
    byte[] buffer4;
    if (hashedPassword == null)
    {
        return false;
    }
    if (password == null)
    {
        throw new ArgumentNullException("password");
    }
    byte[] src = Convert.FromBase64String(hashedPassword);
    if ((src.Length != 0x31) || (src[0] != 0))
    {
        return false;
    }
    byte[] dst = new byte[0x10];
    Buffer.BlockCopy(src, 1, dst, 0, 0x10);
    byte[] buffer3 = new byte[0x20];
    Buffer.BlockCopy(src, 0x11, buffer3, 0, 0x20);
    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, dst, 0x3e8))
    {
        buffer4 = bytes.GetBytes(0x20);
    }
    return ByteArraysEqual(buffer3, buffer4);
}

7
因此,如果我正确理解这一点,该HashPassword函数将在同一字符串中返回两者?当您进行验证时,它会再次将其拆分,然后将传入的明文密码与拆分后的盐一起哈希,然后将其与原始哈希进行比较?
安德烈Snede科克

9
@AndréSnedeHansen。我也建议您询问安全性或加密SE。在那些相应的上下文中,可以更好地解决“它是否安全”部分。
Andrew Savinykh

1
@shajeerpuzhakkal,如上述答案中所述。
Andrew Savinykh

3
@AndrewSavinykh我知道,这就是为什么我要问-有什么意义?使代码看起来更聪明?;)对我来说,使用十进制数进行计数是非常直观的(毕竟,我们至少有十个手指-至少是我们中的大多数人),因此使用十六进制声明多个数字似乎是不必要的代码混淆。
Andrew Cyrul '17

1
@ MihaiAlexandru-Ionut- var hashedPassword = HashPassword(password); var result = VerifyHashedPassword(hashedPassword, password);这是您需要做的。之后result包含真实。
Andrew Savinykh '18

43

因为这些天ASP.NET是开源的,所以您可以在GitHub上找到它: AspNet.Identity 3.0AspNet.Identity 2.0

从评论:

/* =======================
 * HASHED PASSWORD FORMATS
 * =======================
 * 
 * Version 2:
 * PBKDF2 with HMAC-SHA1, 128-bit salt, 256-bit subkey, 1000 iterations.
 * (See also: SDL crypto guidelines v5.1, Part III)
 * Format: { 0x00, salt, subkey }
 *
 * Version 3:
 * PBKDF2 with HMAC-SHA256, 128-bit salt, 256-bit subkey, 10000 iterations.
 * Format: { 0x01, prf (UInt32), iter count (UInt32), salt length (UInt32), salt, subkey }
 * (All UInt32s are stored big-endian.)
 */

是的,并且值得注意的是,zespri显示的算法中还有一些补充。
安德烈Snede科克

1
GitHub上的源是Asp.Net.Identity 3.0,该版本仍处于预发布状态。2.0哈希函数的源代码位于CodePlex上
David

1
最新的实现可以在github.com/dotnet/aspnetcore/blob/master/src/Identity/…找到。他们存档了另一个存储库;)
FranzHuber23

32

我了解已接受的答案,并对其进行了投票,但认为我会将我的外行答案丢在这里...

创建一个哈希

  1. 盐是使用函数Rfc2898DeriveBytes随机生成的,该函数 会生成哈希和盐。Rfc2898DeriveBytes的输入是密码,要生成的盐的大小以及要执行的哈希迭代的次数。 https://msdn.microsoft.com/zh-CN/library/h83s4e12(v=vs.110).aspx
  2. 然后将盐和哈希混在一起(先加盐,然后是哈希),然后编码为字符串(因此盐编码在哈希中)。然后,将已编码的哈希值(包含盐和哈希值)相对于用户(通常)存储在数据库中。

根据哈希检查密码

检查用户输入的密码。

  1. 从存储的哈希密码中提取盐。
  2. 盐用于使用Rfc2898DeriveBytes的重载对用户输入的密码进行哈希处理,该重载采用盐而不是生成盐。https://msdn.microsoft.com/zh-CN/library/yx129kfs(v=vs.110).aspx
  3. 然后将存储的哈希和测试哈希进行比较。

哈希

在幕后,使用SHA1哈希函数(https://en.wikipedia.org/wiki/SHA-1)生成哈希。重复调用此函数1000次(在默认的Identity实现中)

为什么这样安全

  • 随机盐意味着攻击者无法使用预先生成的哈希表来尝试破解密码。他们将需要为每种盐生成一个哈希表。(假设这里的黑客也损害了您的利益)
  • 如果两个密码相同,则它们将具有不同的哈希值。(这意味着攻击者无法推断“通用”密码)
  • 反复调用SHA1 1000次意味着攻击者也需要这样做。这样的想法是,除非他们有时间在超级计算机上,否则他们将没有足够的资源来从哈希中强行破解密码。这将大大减慢为给定的盐生成哈希表的时间。

感谢您的解释。在“创建哈希2”中。您提到盐和哈希混在一起,您知道它是否存储在AspNetUsers表的PasswordHash中。盐储存在我可以看到的任何地方吗?
unicorn2 '18

1
@ unicorn2如果您看一下Andrew Savinykh的答案...在有关哈希的部分中,盐似乎存储在字节数组的前16个字节中,该字节数组是Base64编码并写入数据库的。您将能够在PasswordHash表中看到此Base64编码的字符串。关于Base64字符串,您所能说的只是它的前三分之一是盐。有意义的盐是存储在PasswordHash表中的完整字符串的Base64解码版本的前16个字节
Nattrass

@Nattrass,我对哈希和盐的理解还很初级,但是如果盐很容易从哈希密码中提取出来,那么盐化的重点是什么。我认为盐本是哈希算法的额外输入,不容易被猜到。
NSouth

1
@NSouth唯一的盐使哈希对于给定的密码而言是唯一的。因此,两个相同的密码将具有不同的哈希值。能够访问您的哈希和盐仍然无法使攻击者记住您的密码。哈希是不可逆的。他们仍然需要通过每种可能的密码进行暴力破解。唯一的含义只是意味着,如果黑客成功地控制了整个用户表,那么他们就无法通过对特定哈希进行频率分析来推断出通用密码。
Nattrass

8

对于像我这样的新手来说,这是带有const的代码以及比较byte []的实际方法。我从stackoverflow获得了所有这些代码,但是定义了const,因此可以更改值,并且

// 24 = 192 bits
    private const int SaltByteSize = 24;
    private const int HashByteSize = 24;
    private const int HasingIterationsCount = 10101;


    public static string HashPassword(string password)
    {
        // http://stackoverflow.com/questions/19957176/asp-net-identity-password-hashing

        byte[] salt;
        byte[] buffer2;
        if (password == null)
        {
            throw new ArgumentNullException("password");
        }
        using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, SaltByteSize, HasingIterationsCount))
        {
            salt = bytes.Salt;
            buffer2 = bytes.GetBytes(HashByteSize);
        }
        byte[] dst = new byte[(SaltByteSize + HashByteSize) + 1];
        Buffer.BlockCopy(salt, 0, dst, 1, SaltByteSize);
        Buffer.BlockCopy(buffer2, 0, dst, SaltByteSize + 1, HashByteSize);
        return Convert.ToBase64String(dst);
    }

    public static bool VerifyHashedPassword(string hashedPassword, string password)
    {
        byte[] _passwordHashBytes;

        int _arrayLen = (SaltByteSize + HashByteSize) + 1;

        if (hashedPassword == null)
        {
            return false;
        }

        if (password == null)
        {
            throw new ArgumentNullException("password");
        }

        byte[] src = Convert.FromBase64String(hashedPassword);

        if ((src.Length != _arrayLen) || (src[0] != 0))
        {
            return false;
        }

        byte[] _currentSaltBytes = new byte[SaltByteSize];
        Buffer.BlockCopy(src, 1, _currentSaltBytes, 0, SaltByteSize);

        byte[] _currentHashBytes = new byte[HashByteSize];
        Buffer.BlockCopy(src, SaltByteSize + 1, _currentHashBytes, 0, HashByteSize);

        using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, _currentSaltBytes, HasingIterationsCount))
        {
            _passwordHashBytes = bytes.GetBytes(SaltByteSize);
        }

        return AreHashesEqual(_currentHashBytes, _passwordHashBytes);

    }

    private static bool AreHashesEqual(byte[] firstHash, byte[] secondHash)
    {
        int _minHashLength = firstHash.Length <= secondHash.Length ? firstHash.Length : secondHash.Length;
        var xor = firstHash.Length ^ secondHash.Length;
        for (int i = 0; i < _minHashLength; i++)
            xor |= firstHash[i] ^ secondHash[i];
        return 0 == xor;
    }

在自定义ApplicationUserManager中,将PasswordHasher属性设置为包含上述代码的类的名称。


为此.. _passwordHashBytes = bytes.GetBytes(SaltByteSize); 我猜你的意思是_passwordHashBytes = bytes.GetBytes(HashByteSize);..在您的情况下并不重要,因为两者的大小相同,但通常来说是一样的
。– Akshatha
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.