代码之家 › 专栏 › 技术社区 › Ahmed

使用rsacyptoserviceprovider类将加密密码插入数据库?

encryption authentication c#

1

Ahmed · 技术社区 · 16 年前

我有客户机使用的WCF服务,下面是我当前的用户身份验证实现,我想要一个增强它或更好的机制的建议。

类(RSA实现)将加密的用户密码保存到数据库中
在服务器端,登录方法选择的加密密码提供用户名并使用私钥比较解密的密码(由用户和db one发送)

使用RSA的字符串为生成的新加密字节设置密钥, 所以我不能比较加密的密码和我必须解密它们来比较

附笔答案是“出于身份验证的目的,您应该避免使用可逆加密存储密码”

2 回复 | 直到 16 年前

1

3

Henri 16 年前

存储加密而不是散列的密码是不常见的做法。你有什么特别的理由这样做吗?

如果没有,我建议用盐存储散列的密码(SHA-2或类似的东西)。

2

0

Accipitridae 16 年前

我认为有两个问题需要注意:

现有的 password based key agreements 例如 SRP 解决这两个问题。