CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

Driton Seniormester

08. februar 2018 - 07:02 Der er 5 kommentarer

Hashing og salting af kodeord.

Jeg har oprettet to metoder en der hash'er dem med salt og den anden som går hen og sammenligner. Men af en eller anden grund, så vil de ikke sammenligne. Koden er ikke engang mit, tog den fra nettet, hvor mening var, at den skulle virke.

Den ene metode ser sådan her ud

public string HashingWithSalt(string kodeord)
{

byte[] salt = new byte[16];

new RNGCryptoServiceProvider().GetBytes(salt);

var pbkdf2 = new Rfc2898DeriveBytes(kodeord, salt, 10000);

byte[] hash = pbkdf2.GetBytes(20);

byte[] hashBytes = new byte[36];

Array.Copy(salt, 0, hashBytes, 0, 16);
Array.Copy(hash, 0, hashBytes, 16, 20);

string savedPasswordHash = Convert.ToBase64String(hashBytes);

return savedPasswordHash;

}

Den anden som sammenligner ser sådan her ud

public bool validatekode(string Kodeord, string dbkodeord)
{

string savedPasswordHash = dbkodeord;

byte[] hashBytes = Convert.FromBase64String(savedPasswordHash);

byte[] salt = new byte[16];

var pbkdf2 = new Rfc2898DeriveBytes(Kodeord, salt, 10000);

byte[] hash = pbkdf2.GetBytes(20);

int ok = 1;

for (int i = 0; i < 20; i++) {
if (hashBytes[i + 16] != hash[i])
{
ok = 0;
}
}

if (ok == 1)
{
return true;
}
else
{
return false;
}

}

Den burde virke. Det her er faktisk min kode. Men kan endda selv sidde og teste disse to metoder.

Der bliver også sendt de korrekte værdier. Det her er eksemplet jeg fandt det fra.

https://medium.com/@mehanix/lets-talk-security-salted-password-hashing-in-c-5460be5c3aae

Er der nogle, som kan få øje på, hvor fejlen sker?

Synes godt om

erikjacobsen Ekspert

08. februar 2018 - 10:20 #1

Jeg kan ikke se at du putter noget ind i dit salt array under validering??

Synes godt om

j3ppah Novice

08. februar 2018 - 10:29 #2

Heller ikke under genereringen.
Dit salt array er tomt.

Synes godt om

arne_v Ekspert

08. februar 2018 - 15:01 #3

Salt faar en vaerdi i genereringen via RNGCryptoServiceProvider().GetBytes(salt), men der maa skulle laves en:

Array.Copy(hashBytes, 0, salt, 0, 16);

ved verifikation.

Synes godt om

Driton Seniormester

09. februar 2018 - 00:09 #4

Tak arne, nåede ikke at svarer de to andre. Der er værdier i salt'en. Men jeg prøver lige din løsning Arne, men den burde virke, siden hans kode virker.

Synes godt om

Driton Seniormester

09. februar 2018 - 00:10 #5

Arne kender du en anden eksempel på nettet, som virker med salting, som har en slow algoritme

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Flere spørgsmål fra C# kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Tråd programmering Af lasserasch i C#	3	04/12/202313:03	06/01/202419:04
Inspiration til GUI opdatering fra Service lag. Af lasserasch i C#	2	28/11/202308:48	28/11/202319:29
Kan ikke komme igennem azure firewall med fil upload fra web app Af chrisrj i C#	1	28/08/202313:32	28/08/202314:04
xml parsing driller - subtree-tag "forsvinder"!? Af chrisrj i C#	32	14/08/202312:56	16/08/202317:19
Konvertering pdf/foto (PdfiumViewer) Af TV47 i C#	2	07/04/202313:19	07/04/202315:16

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS