如何使用 PBKDF2 在 .NET 中安全地散列密碼？-C++-PHP中文網

首頁

後端開發

C++

如何使用 PBKDF2 在 .NET 中安全地散列密碼？

Barbara Streisand

Jan 23, 2025 pm 12:32 PM

How to Securely Hash Passwords in .NET Using PBKDF2?

使用當前最佳實踐在 .NET 中安全地雜湊密碼

在資料庫中儲存密碼時，使用雜湊演算法保護敏感資訊至關重要。加密方法不適用於此目的。 .NET 中最好的原生密碼雜湊演算法是 PBKDF2（基於密碼的金鑰衍生函數 2）。

使用 PBKDF2 進行密碼雜湊的逐步指南

步驟 1：產生鹽值

鹽值是一個隨機值，用來使每個密碼的雜湊值唯一。使用加密 PRNG（偽隨機數產生器）建立鹽值：

byte[] salt;
new RNGCryptoServiceProvider().GetBytes(salt = new byte[16]);

步驟 2：建立 PBKDF2 物件並計算雜湊值

實例化 Rfc2898DeriveBytes 類別並指定密碼、鹽值和所需的迭代次數（建議約 100,000 次）：

var pbkdf2 = new Rfc2898DeriveBytes(password, salt, 100000);
byte[] hash = pbkdf2.GetBytes(20);

步驟 3：組合鹽值和密碼位元組以進行儲存

組合鹽值和密碼位元組以建立單一字串以供資料庫儲存：

byte[] hashBytes = new byte[36];
Array.Copy(salt, 0, hashBytes, 0, 16);
Array.Copy(hash, 0, hashBytes, 16, 20);

步驟 4：轉換為 Base64 字串以進行儲存

將組合的位元組編碼為 Base64 字串以儲存在資料庫中：

string savedPasswordHash = Convert.ToBase64String(hashBytes);

步驟 5：驗證使用者輸入的密碼

要驗證使用者輸入的密碼與儲存的雜湊值是否相符：

從資料庫取得儲存的密碼雜湊值。
從儲存的雜湊值中提取鹽值和雜湊位元組。
使用使用者輸入的密碼和提取的鹽值計算新的雜湊值。
將計算出的雜湊值與儲存的雜湊值進行比較。如果匹配，則密碼有效。

string savedPasswordHash = DBContext.GetUser(u => u.UserName == user).Password;

byte[] hashBytes = Convert.FromBase64String(savedPasswordHash);
byte[] salt = new byte[16];
Array.Copy(hashBytes, 0, salt, 0, 16);

var pbkdf2 = new Rfc2898DeriveBytes(password, salt, 100000);
byte[] hash = pbkdf2.GetBytes(20);

for (int i=0; i < 20; i++)
    if (hashBytes[i+16] != hash[i])
        throw new UnauthorizedAccessException();

注意：可以根據應用程式的效能要求調整迭代次數。通常建議最小值為 10,000。

以上是如何使用 PBKDF2 在 .NET 中安全地散列密碼？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

在C中掌握多態性：深度潛水May 14, 2025 am 12:13 AM

掌握C 中的多态性可以显著提高代码的灵活性和可维护性。1)多态性允许不同类型的对象被视为同一基础类型的对象。2)通过继承和虚拟函数实现运行时多态性。3)多态性支持代码扩展而不修改现有类。4)使用CRTP实现编译时多态性可提升性能。5)智能指针有助于资源管理。6)基类应有虚拟析构函数。7)性能优化需先进行代码分析。

C Destructors vs垃圾收集器：有什麼區別？May 13, 2025 pm 03:25 PM

C DestructorSprovidePreciseControloverResourCemangement，whergarBageCollectorSautomateMoryManagementbutintroduceunPredicational.c Destructors：1）允許CustomCleanUpactionsWhenObextionsWhenObextSaredSaredEstRoyed，2）RorreasereSouresResiorSouresiorSourseResiorMeymemsmedwhenEbegtsGoOutofScop

C和XML：在項目中集成數據May 10, 2025 am 12:18 AM

在C 項目中集成XML可以通過以下步驟實現：1)使用pugixml或TinyXML庫解析和生成XML文件，2)選擇DOM或SAX方法進行解析，3)處理嵌套節點和多級屬性，4)使用調試技巧和最佳實踐優化性能。

在C中使用XML：庫和工具指南May 09, 2025 am 12:16 AM

在C 中使用XML是因為它提供了結構化數據的便捷方式，尤其在配置文件、數據存儲和網絡通信中不可或缺。 1)選擇合適的庫，如TinyXML、pugixml、RapidXML，根據項目需求決定。 2)了解XML解析和生成的兩種方式：DOM適合頻繁訪問和修改，SAX適用於大文件或流數據。 3)優化性能時，TinyXML適合小文件，pugixml在內存和速度上表現好，RapidXML處理大文件優異。

C＃和C：探索不同的範例May 08, 2025 am 12:06 AM

C#和C 的主要區別在於內存管理、多態性實現和性能優化。 1）C#使用垃圾回收器自動管理內存，C 則需要手動管理。 2）C#通過接口和虛方法實現多態性，C 使用虛函數和純虛函數。 3）C#的性能優化依賴於結構體和並行編程，C 則通過內聯函數和多線程實現。

C XML解析：技術和最佳實踐May 07, 2025 am 12:06 AM

C 中解析XML數據可以使用DOM和SAX方法。 1)DOM解析將XML加載到內存，適合小文件，但可能佔用大量內存。 2)SAX解析基於事件驅動，適用於大文件，但無法隨機訪問。選擇合適的方法並優化代碼可提高效率。

c在特定領域：探索其據點May 06, 2025 am 12:08 AM

C 在遊戲開發、嵌入式系統、金融交易和科學計算等領域中的應用廣泛，原因在於其高性能和靈活性。 1)在遊戲開發中，C 用於高效圖形渲染和實時計算。 2)嵌入式系統中，C 的內存管理和硬件控制能力使其成為首選。 3)金融交易領域，C 的高性能滿足實時計算需求。 4)科學計算中，C 的高效算法實現和數據處理能力得到充分體現。