#.net
#.net
Вопрос:
Существует ли какой-либо официально рекомендованный способ хранения паролей?
UPD Речь идет не о сервере, а о рабочем столе. Мне действительно нужно сохранить пароль для доступа к удаленной веб-службе. Нет хэшей 😉
Ответ №1:
Да, рекомендуемый способ — никогда не хранить реальные пароли, а только их хэши. Для повышения безопасности вы могли бы хэшировать их с помощью соли и также сохранять соль. Вот статья, которая может показаться вам полезной.
Комментарии:
1. … и не только любые хэши.
2. Поскольку вы упомянули salt, возможно, вам захочется уточнить, где его хранить.
3. @jgauffin, это объясняется в статье, на которую я дал ссылку, достаточно прочитать ее.
4. mkay. Просто я тогда был ленив. 1
Ответ №2:
Вы должны хранить хэши паролей, используя bcrypt.
Ответ №3:
Windows DPAPI — это правильный путь.
Это инкапсулировано в .net системой.Безопасность.Криптография.Класс ProtectedData (эта ссылка содержит базовый пример)
Ответ №4:
Хэши — это обычный ответ, за исключением, по-видимому, случаев, когда вы живете во Франции.
Согласно французскому законодательству, веб-сайты должны хранить копии данных своих пользователей (включая их пароли) и передавать их властям по запросу. Это вынудило бы веб-сайты хранить полные пароли в доступной для извлечения форме (а не только их хэши) и оспаривается в суде Google, eBay и другими.
Ответ №5:
Способ, который Microsoft использует в службе членства, обслуживающей средства управления пользователями.
Хэширование паролей с помощью SHA1 (AFAIR) и их сохранение.
http://msdn.microsoft.com/en-us/library/aa479048.aspx#bucupro_topic11
Комментарии:
1. Но я думал, что MD5 устарел, а не SHA1, потому что у него очень низкая частота столкновений. и надежность шифрования зависит от многих параметров, таких как размер ключа и двойное шифрование amp; ..
2. Они оба устарели; SHA512 является текущим. Однако не используйте его. chargen.matasano.com/chargen/2007/9/7 /…