Как зашифровать пароль на SQL Server и ASP.NET C#

Question

Я разрабатываю классическое приложение WebForms в ASP.NET C#, я аутентифицирую использование, используя мой пользовательский метод FormsAuthentication, который считывает данные пользователей из пользовательской таблицы sql Server, где хранится также пароль. Эта таблица пользователей частично уже заполнена, и я также могу добавить пользователей, используя мою страницу aspx, которую я разработал. Я хочу зашифровать пароль пользователей в БД, я думаю, мне нужны две вещи: сценарий SQL для шифрования данных, уже сохраненных в моей таблице, и код для шифрования/дешифрования пароля при регистрации нового пользователя.

Я читал, что могу использовать MD5, хеширование, SHA1, SH2, но я в замешательстве. Можете ли вы посоветовать мне, что такое лучший подход к обеспечению безопасности и как я могу это сделать?

спасибо

Answer 1

Во-первых, не используйте MD5 или SHA1. Эти алгоритмы не предназначены для хранения паролей, а many - sites - have - looked - the - fool для их использования. И учитывая ваш уровень знаний, вы даже не должны использовать SHA2. Вместо этого используйте BCrypt, SCrypt или PBKDF2. BCrypt, вероятно, ваш лучший вариант, так как API является самым простым в использовании. Пример:

//Hash user password 
String passwordHash = BCrypt.HashPassword(thePassword); 
//Verify user password 
bool passwordIsCorrect = BCrypt.Verify(thePassword, passwordHash); 

Во-вторых, не используйте SQL-скрипт для шифрования паролей уже в базе данных. Нет причин строить какой-то запутанный скрипт, чтобы сделать что-то вроде этого. Экспортируйте данные из базы данных, создайте утилиту для ее обработки и хешируйте все пароли, а затем импортируйте обработанные данные.

И наконец, сделайте это как можно скорее. Обычные пароли в базе данных представляют собой серьезную защиту без-no.