3

現在、いくつかのASP.NET MVC 2サイトを構築していますが、パスワードをソルトするためのオプションは何でしょうか。私のPHPの仕事では、通常、ユーザーが登録したときのタイムスタンプを取得し、SHA1を使用してすべてをハッシュする前に、パスワード文字列の最後にタイムスタンプを追加しました。私の本能は、このアプローチでは不十分かもしれないということです。

とにかく、私はASP.NETを使用したユーザー管理にかなり慣れていないので、最初からベストプラクティスを開始することが私の最大の利益になると思います。ASP.NET Webフォームには組み込みのユーザー管理が利用できることは知っていますが、MVCについてはよくわかりません。

4

1 に答える 1

4

SALTの唯一のポイントは、複数のユーザーがパスワードに同じハッシュを持っているレインボー攻撃を防ぐことです。したがって、1つのパスワードを正常に逆にすることは、同じハッシュを持つ他のすべてのユーザーのパスワードであることも知っていることを意味します。同じパスワードを持つ2人のユーザーは、異なるソルトを使用すると異なるハッシュを持つため、1桁のソルトでもそれを防ぐことができます。

ソルトが変わらないものであり、ユーザーごとに異なるものである限り、どの値でもうまく機能します。そのフィールドを更新しない場合は、登録のタイムスタンプ(パスワードハッシュが無効になり、ログインができなくなります)が適切な選択です。

于 2010-08-18T20:35:04.250 に答える