Şifreyi veritabanında saklamanın en iyi yolu [kapalı]

Kimlik doğrulaması (kullanıcı adı ve şifre) olması gereken bir proje üzerinde çalışıyorum

Ayrıca bir veritabanına bağlanır, bu yüzden kullanıcı adını ve şifreyi orada saklayacağımı düşündüm. Ancak, veritabanında oturan bir tablodaki bir metin alanı gibi parolalara sahip olmak iyi bir fikir gibi görünmemektedir.

C # kullanıyorum ve 2008 ekspres sunucusuna bağlanıyorum. Herkes (olabildiğince çok örnekle) bu tür verileri depolamanın en iyi yolunun ne olacağını önerebilir mi?

PS: Ben iyi bir neden sağlanabilir eğer bu bilgi veritabanında saklanmadığı fikrine açıkım

Parolayı düz metin alanında saklamanın korkunç bir fikir olduğu konusunda haklısınız . Ancak, konum kadarıyla , karşılaşacağınız çoğu durumda (ve dürüstçe herhangi bir karşı örnek düşünemiyorum) veritabanında bir parola temsilini saklamak için uygun bir şeydir. Temsilin olarak derken karma (her kullanıcı için farklı olmalıdır) bir tuz ve güvenli bir 1-yönlü algoritma ve mağaza kullanarak şifreyi istediğiniz anlamına olduğunu , orijinal şifreyi atıyor. Ardından, bir parolayı doğrulamak istediğinizde, değeri aynı hash algoritmasını ve tuzu kullanarak hash eder ve veritabanındaki hashed değeriyle karşılaştırırsınız.

Yani, bunun hakkında düşündüğünüz iyi bir şey ve iyi bir soru olsa da, aslında bu soruların bir kopyası (en azından):

• Kullanıcı bilgilerini ve kullanıcı oturum açma bilgilerini ve şifresini en iyi şekilde saklama
• Veritabanı şifrelerini saklamak için en iyi uygulamalar
• Parolanızı Tuzlama: En İyi Uygulamalar?
• Bir php değişkeni veya php sabit düz metin şifre saklamak hiç ok mu?

Tuzlama bitinde biraz daha açıklığa kavuşturmak için, sadece bir parola hash etme ve depolama ile tehlike, bir izinsiz giriş yapan kişi veritabanınızı ele geçirirse, yine de gökkuşağı tabloları olarak bilinenleri , şifre (en azından gökkuşağı tablosunda gösterilenler). Bunun üstesinden gelmek için, geliştiriciler parolalara, uygun şekilde yapıldığında gökkuşağı saldırılarını yapmayı olanaksız hale getiren bir tuz ekler . Yaygın bir yanlış anlama, tüm şifrelere aynı benzersiz ve uzun dizeyi eklemektir; bu korkunç olmasa da, her şifreye benzersiz tuzlar eklemek en iyisidir. Daha fazlası için bunu okuyun.

Arka Plan Hiçbir zaman ... gerçekten ... kullanıcının şifresini bilmeniz gerekmez. Sadece gelen kullanıcının bir hesabın şifresini bildiğini doğrulamak istiyorsunuz.

Hash It: Kullanıcı parolalarının karma değerini (tek yönlü şifreleme) güçlü bir karma işlevi aracılığıyla depolar. "C # şifreleri şifreleme" araması bir sürü örnek verir.

Karma işlevinin ne ürettiği hakkında bir fikir edinmek için çevrimiçi SHA1 karma yaratıcısına bakın (Ancak SHA1'i karma işlevi olarak kullanmayın, SHA256 gibi daha güçlü bir şey kullanın).

Şimdi, karma parolalar sizin (ve veritabanı hırsızlarının) bu karma değerini orijinal parolaya geri çevirememeniz gerektiği anlamına gelir.

Nasıl kullanılır: Ama diyorsunuz ki, veritabanında saklanan bu parola parolasını nasıl kullanırım?

Kullanıcı oturum açtığında, size kullanıcı adını ve şifreyi (orijinal metninde) verir. Saklanan sürümü almak için bu şifreyi yazmak için aynı karma kodu kullanırsınız.

Bu nedenle, iki karma şifreyi (kullanıcı adı için veritabanı karma ile girilen & karma şifreyi) karşılaştırın. Karmalarını karşılaştırarak "yazdıklarının" orijinal kullanıcının parolaları için ne girdiğini "uyuşup uyuşmadığını" anlayabilirsiniz.

Ekstra kredi:

Soru: Veritabanınız olsaydı, o zaman Ripper John gibi bir kraker alıp depolanmış, karma şifrelerinizle eşleşene kadar karma yapmaya başlayamadım mı? (kullanıcılar kısa, sözlük kelimeleri yine de seçtiği için ... kolay olmalı)

Cevap: Evet ... evet yapabilirler.

Yani, şifrelerinizi 'tuzlamalısınız'. Tuz hakkındaki Wikipedia makalesine bakın

Bkz. "Tuz ile veri karma nasıl yapılır" C # örneği

Sha-512 gibi güvenli bir algoritma kullanılarak, anahtarla sertleştirilmiş tuzlanmış bir karma olarak.

En iyi güvenlik uygulaması şifreyi hiç saklamak (hatta şifrelenmemiş) değil, şifrelenmiş şifrenin tuzlanmış karmasını (şifre başına benzersiz bir tuzla) saklamaktır.

Bu şekilde bir düz metin parola almak (neredeyse) imkansızdır.

Gökkuşağı tabloları ile yeterli makaleleri iyice okumanızı tavsiye ederim : Güvenli Şifre Şemaları Hakkında Bilmeniz Gerekenler [ölü bağlantı, İnternet Arşivine kopyala ] ve Güvenli Bir Şifre Nasıl Saklanır .

Ben dahil birçok kodlayıcı, güvenlik ve karmaşayı anladıklarını düşünüyor. Ne yazık ki çoğumuz yok.

Bir kullanıcı adı ve şifre ihtiyacından bahsettiğiniz gibi biraz konu dışı olabilirim ve bu konudaki anlayışım kuşkusuz en iyisi değil ama OpenID düşünülmeye değer bir şey mi?

OpenID kullanırsanız, teknolojiyi doğru anlarsam ve kullanıcılar zaten sahip oldukları kimlik bilgilerini kullanabilir ve uygulamanıza özgü yeni bir kimlik oluşturma gereğini ortadan kaldırırsa hiçbir kimlik bilgisini depolamazsınız.

Söz konusu uygulamanın yalnızca dahili kullanım için olması uygun olmayabilir.

RPX , OpenID desteğini bir uygulamaya entegre etmek için güzel ve kolay bir yol sağlar.

Senaryonuzda, asp.net üyeliğine göz atabilirsiniz, kullanıcının parolasını veritabanında karma dize olarak saklamak iyi bir uygulamadır. karma gelen parolayı veritabanında saklanan parola ile karşılaştırarak kullanıcının kimliğini doğrulayabilirsiniz.

Her şey bu amaç için inşa edildi, asp.net üyeliğine göz atın

Karma işlemini tersine çevirmeniz gerekmiyorsa parolayı MD5 / SHA1 olurum. Kullanıcılar giriş yaptığında, verilen şifreyi şifreleyebilir ve hash ile karşılaştırabilirsiniz. Birisi veritabanına erişim sağlamaz ve zaten bir çarpışması olan bir karma görmezse, bu durumda karma çarpışmalar neredeyse imkansızdır.