加密密码的最佳方法是什么？

Question

我即将为我的应用程序进行“登录”，并且想知道为我将在数据库中输入的用户密码进行加密的最佳方法是什么？我在Google上找到了很多方法，但不知道哪个是最好的。

Answer 1

我会选择一种单向加盐哈希。

例如，使用 SHA1 哈希，您可以将密码存储为哈希，而该哈希无法反转回原始密码。然后，当用户输入他/她的密码时，您对密码执行相同的 SHA1 散列，并将该散列与您存储在数据库中的散列进行比较，如果它们匹配，则密码是正确的。

为了进一步保护散列，您可以添加盐，这本质上是您为每个用户生成的随机生成的值，然后创建帐户，并将盐值存储在用户记录中。创建密码的哈希值时，首先将密码与盐组合，并对组合值进行哈希处理。要验证用户身份，请将输入的密码与为用户存储的盐相结合，对组合值执行哈希并进行比较。

通过将盐添加到混合物中，您可以确保碰巧相同的密码的哈希值具有不同的哈希值，因为加盐部分不同。因此，如果两个用户具有相同的密码“Password1234”，则两个用户存储的哈希值将不相同，因此无法确定两个用户具有相同的密码。

Answer 2

我建议使用 Rfc2898DeriveBytes

它使用了良好的标准化密钥派生函数和现代哈希。除了密码之外，您还需要传递盐以防止彩虹表。它会为您混合盐和密码，因此您无需自己弄清楚如何做到这一点。

Answer 3

使用 bcrypt。不，真的，放弃构建自己的方法的任何想法，使用 bcrypt 。世界上已经有足够多的自制不安全密码哈希方案。

存储加盐的密码哈希值，当然还有每个用户的盐，这一切都很好。但加盐只能防止彩虹表攻击，并不能防止暴力破解。因此，矛盾的是，您不想使用快速方法来生成或验证密码哈希值。 MD5、SHA，无论什么——它们都很快。跟我重复一遍：使用 bcrypt。

Answer 4

您可以使用 RSA 算法： http://www.codeproject.com/KB/security/RSACryptoPad .aspx

Answer 5

通常使用.net框架提供的加密算法

，许多应用程序使用MD5算法

请参阅此处