是否使用 RijndaelManaged 对象来充分保护密码以及存储密钥的位置

Question

我正在使用 RijndaelManaged 对象来加密密码并将其存储在我的数据库中。我目前已将键和向量数组硬编码到对象中。显然，这不太好，因为有人可以获得密钥并解密所有密码。保护密码的最佳方法是什么？这些密钥应该存储在哪里才能获得最大程度的保护？

谢谢。

Answer 1

如果您可以安全地存储密钥，那么 Reijndael 会很棒。

但你不能。

一般做法是：根本不存储密码。存储 Pw 的哈希值（+ 用户名 + 盐），并在用户尝试登录时重新计算。

Answer 2

我也使用 rijndael 进行加密。我正在做的是在运行时生成密钥和向量，然后将它们存储在单独的存根文件中。为了进行解密，我从存根文件中读取密钥和向量。是的，钥匙仍然有可能被发现，但几乎不可能完全隐藏它们。

最后，考虑使用私有分隔符与密钥和向量混合 - 这样您就可以按分隔符分割并恢复密钥，而外部用户甚至不知道从哪里开始。