C#使用 Salt + Hash 来为密码加密

（一） 为什么要用哈希函数来加密密码

如果你需要保存密码（比如网站用户的密码），你要考虑如何保护这些密码数据，象下面那样直接将密码写入数据库中是极不安全的，因为任何可以打开数据库的人，都将可以直接看到这些密码。

解决的办法是将密码加密后再存储进数据库，比较常用的加密方法是使用哈希函数（Hash Function）。哈希函数的具体定义，大家可以在网上或者相关书籍中查阅到，简单地说，它的特性如下：

（1）原始密码经哈希函数计算后得到一个哈希值

（2）改变原始密码，哈希函数计算出的哈希值也会相应改变

（3） 同样的密码，哈希值也是相同的

（4） 哈希函数是单向、不可逆的。也就是说从哈希值，你无法推算出原始的密码是多少

有了哈希函数，我们就可以将密码的哈希值存储进数据库。用户登录网站的时候，我们可以检验用户输入密码的哈希值是否与数据库中的哈希值相同。

由于哈希函数是不可逆的，即使有人打开了数据库，也无法看到用户的密码是多少。

那么存储经过哈希函数加密后的密码是否就是安全的了呢？我们先来看一下几种常见的破解密码的方法。

（二） 几种常见的破解密码的方法

最简单、常见的破解方式当属字典破解（Dictionary Attack）和暴力破解（Brute Force Attack）方式。这两种方法说白了就是猜密码。

字典破解和暴力破解都是效率比较低的破解方式。如果你知道了数据库中密码的哈希值，你就可以采用一种更高效的破解方式，查表法（Lookup Tables）。还有一些方法，比如逆向查表法（Reverse Lookup Tables）、彩虹表（Rainbow Tables）等，都和查表法大同小异。现在我们来看一下查表法的原理。

查表法不像字典破解和暴力破解那样猜密码，它首先将一些比较常用的密码的哈希值算好，然后建立一张表，当然密码越多，这张表就越大。当你知道某个密码的哈希值时，你只需要在你建立好的表中查找该哈希值，如果找到了，你就知道对应的密码了。

（三） 为密码加盐（Salt）

从上面的查表法可以看出，即便是将原始密码加密后的哈希值存储在数据库中依然是不够安全的。那么有什么好的办法来解决这个问题呢？答案是加盐。

盐（Salt）是什么？就是一个随机生成的字符串。我们将盐与原始密码连接（concat）在一起（放在前面或后面都可以），然后将concat后的字符串加密。采用这种方式加密密码，查表法就不灵了（因为盐是随机生成的）。

（四） 在.NET中的实现

在.NET中，生成盐可以使用RNGCryptoServiceProvider类，当然也可以使用GUID。哈希函数的算法我们可以使用SHA（Secure Hash Algorithm）家族算法，当然哈希函数的算法有很多，比如你也可以采用MD5。这里顺便提一下，美国政府以前广泛采用SHA-1算法，在2005年被我国山东大学的王小云教授发现了安全漏洞，所以现在比较常用SHA-1加长的变种，比如SHA-256。在.NET中，可以使用SHA256Managed类。

下面来看一段代码演示如何在.NET中实现给密码加盐加密。加密后的密码保存在MySQL数据库中。

下面的代码演示如何注册一个新帐户。盐的生成可以使用新Guid，也可以使用RNGCryptoServiceProvider 类。将byte[]转换为string，可以使用Base64String，也可以使用下面的ToHexString方法。

protected void ButtonRegister_Click(object sender, EventArgs e) 
{ 
 string username = TextBoxUserName.Text; 
 string password = TextBoxPassword.Text; 
 // random salt 
 string salt = Guid.NewGuid().ToString();
 // random salt 
 // you can also use RNGCryptoServiceProvider class  
 //System.Security.Cryptography.RNGCryptoServiceProvider rng = new System.Security.Cryptography.RNGCryptoServiceProvider(); 
 //byte[] saltBytes = new byte[36]; 
 //rng.GetBytes(saltBytes); 
 //string salt = Convert.ToBase64String(saltBytes); 
 //string salt = ToHexString(saltBytes); 
 byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt);  
 byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes);
 string hashString = Convert.ToBase64String(hashBytes);
 // you can also use ToHexString to convert byte[] to string 
 //string hashString = ToHexString(hashBytes); 
 var db = new TestEntities(); 
 usercredential newRecord = usercredential.Createusercredential(username, hashString, salt); 
 db.usercredentials.AddObject(newRecord); 
 db.SaveChanges(); 
}
string ToHexString(byte[] bytes) 
{ 
 var hex = new StringBuilder(); 
 foreach (byte b in bytes) 
 { 
 hex.AppendFormat("{0:x2}", b); 
 } 
 return hex.ToString(); 
} 

下面的代码演示了如何检验登录用户的密码是否正确。首先检验用户名是否存在，如果存在，获得该用户的盐，然后用该盐和用户输入的密码来计算哈希值，并和数据库中的哈希值进行比较。

protected void ButtonSignIn_Click(object sender, EventArgs e) 
{ 
 string username = TextBoxUserName.Text; 
 string password = TextBoxPassword.Text;
 var db = new TestEntities(); 
 usercredential record = db.usercredentials.Where(x => string.Compare(x.UserName, username, true) == 0).FirstOrDefault(); 
 if (record == default(usercredential)) 
 { 
 throw new ApplicationException("invalid user name and password"); 
 }
 string salt = record.Salt; 
 byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt); 
 byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes); 
 string hashString = Convert.ToBase64String(hashBytes);

 if (hashString == record.PasswordHash) 
 { 
 // user login successfully 
 } 
 else 
 { 
 throw new ApplicationException("invalid user name and password"); 
 } 
}

总结：单单使用哈希函数来为密码加密是不够的，需要为密码加盐来提高安全性，盐的长度不能过短，并且盐的产生应该是随机的。

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，同时也希望多多支持！

# C#  # 加密  # 浅谈C#中Md5和Sha1两种加密方式  # asp实现的sha1加密解密代码（和C#兼容）  # c# 实现MD5  # SHA1  # SHA256  # SHA512等常用加密算法源代码  # C# 实现对PPT文档加密、解密及重置密码的操作方法  # C# 批量生成随机密码必须包含数字和字母并用加密算法加密  # 基于C#对用户密码使用MD5加密与解密  # C#使用伪随机数实现加密用户密码的方法  # C# 使用SHA1算法对密码进行加密  # 可以使用  # 数据库中  # 加盐  # 如果你  # 几种  # 山东大学  # 美国政府  # 的人  # 都是  # 有什么  # 放在  # 也会  # 地说  # 你就  # 你要  # 有很多  # 当你  # 我们可以  # 这张  # 不像 

相关文章： 建站org新手必看：2024最新搭建流程与模板选择技巧  浅析上传头像示例及其注意事项  如何通过虚拟主机快速完成网站搭建？  如何在香港免费服务器上快速搭建网站？  攀枝花网站建设,攀枝花营业执照网上怎么年审？  Python路径拼接规范_跨平台处理说明【指导】  云南网站制作公司有哪些,云南最好的招聘网站是哪个？  新网站制作渠道有哪些,跪求一个无线渠道比较强的小说网站，我要发表小说？  教育培训网站制作流程,请问edu教育网站的域名怎么申请？  公司网站的制作公司,企业网站制作基本流程有哪些？  广州美橙建站如何快速搭建多端合一网站？  如何选择高效可靠的多用户建站源码资源？  如何在Mac上搭建Golang开发环境_使用Homebrew安装和管理Go版本  c# await 一个已经完成的Task会发生什么  建站VPS选购需注意哪些关键参数？  广东企业建站网站优化与SEO营销核心策略指南  建站之星后台管理如何实现高效配置？  高防服务器租用指南：配置选择与快速部署攻略  百度网页制作网站有哪些,谁能告诉我百度网站是怎么联系？  如何在IIS中配置站点IP、端口及主机头？  独立制作一个网站多少钱,建立网站需要花多少钱？  如何在IIS中新建站点并配置端口与IP地址？  小建面朝正北，A点实际方位是否存在偏差？  香港服务器建站指南：外贸独立站搭建与跨境电商配置流程  公司网站建设制作费用,想建设一个属于自己的企业网站，该如何去做？  建站之星图片链接生成指南：自助建站与智能设计教程  如何通过建站之星自助学习解决操作问题？  兔展官网 在线制作,怎样制作微信请帖？  宝塔建站无法访问？如何排查配置与端口问题？  广州顶尖建站服务：企业官网建设与SEO优化一体化方案  c# 在高并发下使用反射发射（Reflection.Emit）的性能  定制建站策划方案_专业建站与网站建设方案一站式指南  香港服务器建站指南：免备案优势与SEO优化技巧全解析  单页制作网站有哪些,朋友给我发了一个单页网站，我应该怎么修改才能把他变成自己的呢，请求高手指点迷津？  移民网站制作流程,怎么看加拿大移民官网？  寿县云建站：智能SEO优化与多行业模板快速上线指南  建站之星后台密码遗忘？如何快速找回？  免费网站制作模板下载,除了易企秀之外还有什么H5平台可以制作H5长页面，最好是免费的？  网站代码制作软件有哪些,如何生成自己网站的代码？  建站主机功能解析：服务器选择与快速搭建指南  义乌企业网站制作公司,请问义乌比较好的批发小商品的网站是什么？  宠物网站制作html代码,有没有专门介绍宠物如何养的网站啊？  网站制作员失业,怎样查看自己网站的注册者？  微信推文制作网站有哪些,怎么做微信推文，急？  网站制作和推广的区别,想自己建立一个网站做推广，有什么快捷方法马上做好一个网站？  香港服务器选型指南：免备案配置与高效建站方案解析  韩国代理服务器如何选？解析IP设置技巧与跨境访问优化指南  如何用PHP快速搭建CMS系统？  电脑免费海报制作网站推荐,招聘海报哪个网站多？  SQL查询语句优化的实用方法总结