パスワードをデータベースに保存する最良の方法[終了]

認証（ユーザー名とパスワード）が必要なプロジェクトに取り組んでいます

また、データベースに接続するので、ユーザー名とパスワードをそこに保存すると思いました。ただし、データベース上にあるテーブルの単なるテキストフィールドとしてパスワードを設定するのは、あまり良い考えではないようです。

C＃を使用して、2008 Expressサーバーに接続しています。このタイプのデータを保存する最良の方法は何ですか（可能な限り多くの例を使用して）誰でも提案できますか？

PS正当な理由が提供できる場合、この情報はデータベースに保存されないという考えを受け入れます

プレーンテキストフィールドにパスワードを保存するのは恐ろしい考えです。ただし、場所に関する限り、遭遇するほとんどの場合（そして正直なところ、私は正反対のことは考えられません）、データベースにパスワードの表現を保存することは適切なことです。表現とは、ソルト（ユーザーごとに異なります）と安全な一方向アルゴリズムを使用してパスワードをハッシュし、それを保存して、元のパスワードを破棄することを意味します。次に、パスワードを検証する場合、値をハッシュし（同じハッシュアルゴリズムとソルトを使用）、データベース内のハッシュ値と比較します。

したがって、これについて考えていることは良いことであり、良い質問ですが、これは実際にはこれらの質問の複製です（少なくとも）。

• ユーザー情報とユーザーログインとパスワードを最適に保存する方法
• データベースパスワードを保存するためのベストプラクティス
• パスワードをソルトする：ベストプラクティス？
• パスワードをプレーンテキストでphp変数またはphp定数に保存しても問題ありませんか？

ソルティングビット、パスワードをハッシュして保存することの危険性をさらに明確にするために、侵入者がデータベースを手に入れても、レインボーテーブルと呼ばれるものを使用して、パスワード（少なくともレインボーテーブルに表示されるもの）。これを回避するために、開発者はパスワードにソルトを追加します。これにより、適切に行われた場合、レインボー攻撃を実行することは単に不可能になります。一般的な誤解は、すべてのパスワードに同じ一意の長い文字列を単に追加することであることに注意してください。これは恐ろしいことではありませんが、すべてのパスワードに一意のソルトを追加することをお勧めします。詳しくはこちらをご覧ください。

背景 ユーザーのパスワードを知っている必要はありません。着信ユーザーがアカウントのパスワードを知っていることを確認したいだけです。

Hash It： 強力なハッシュ関数を介してハッシュされたユーザーパスワード（一方向暗号化）を保存します。「c＃暗号化パスワード」を検索すると、多くの例が表示されます。

ハッシュ関数が生成するものについては、オンラインのSHA1ハッシュクリエーターを参照してください（ただし、ハッシュ関数としてSHA1を使用しないでください。SHA256などの強力なものを使用してください）。

ハッシュ化されたパスワードは、あなた（およびデータベースの泥棒）がそのハッシュを元のパスワードに戻すことができないことを意味します。

使用方法： しかし、あなたは、データベースに保存されているこのマッシュアップされたパスワードをどのように使用するのですか？

ユーザーがログインすると、ユーザー名とパスワードが（元のテキストで）渡されます。同じハッシュコードを使用して、入力したパスワードをハッシュし、保存されているバージョンを取得します。

したがって、2つのハッシュされたパスワードを比較します（ユーザー名のデータベースハッシュと入力されたハッシュされたパスワード）。ハッシュを比較することで、「ユーザーが入力した内容」が「元のユーザーがパスワードに入力した内容」と一致したかどうかを確認できます。

追加クレジット：

質問：私のデータベースがあったら、John the Ripperのようなクラッカーを使って、保存されているハッシュ化されたパスワードと一致するものが見つかるまで、ハッシュを作成することはできませんか？（ユーザーはとにかく短い辞書の単語を選ぶので...それは簡単なはずです）

回答：はい...はい、できます。

したがって、パスワードを「ソルト」する必要があります。塩に関するウィキペディアの記事を参照してください

「ソルトを使用してデータをハッシュする方法」のC＃の例を参照してください。

鍵強化されたソルトハッシュとして、sha-512などの安全なアルゴリズムを使用します。

最良のセキュリティプラクティスは、パスワードをまったく（暗号化すらされていない）保存するのではなく、暗号化されたパスワードのソルトハッシュ（パスワードごとに一意のソルトを含む）を保存することです。

この方法では、プレーンテキストのパスワードを取得することは（実際には）不可能です。

十分なレインボーテーブル：安全なパスワードスキームについて知っておくべきこと [デッドリンク、インターネットアーカイブにコピーする ]と[ パスワードを安全に保存する方法 ] の記事を読むことをお勧めします。

私も含めて、多くのコーダーはセキュリティとハッシュを理解していると思います。悲しいことに、私たちのほとんどはそうしません。

ユーザー名とパスワードの必要性について言及したように、少しトピックから外れているかもしれませんが、私の問題の理解は確かに最善ではありませんが、OpenIDは検討に値するものですか？

OpenIDを使用する場合、私がテクノロジーを正しく理解し、ユーザーがすでに持っている資格情報を使用できれば、アプリケーションに固有の新しいIDを作成する必要がなくなれば、資格情報はまったく保存されません。

問題のアプリケーションが純粋に内部で使用される場合は、適切ではない可能性があります

RPXは、OpenIDサポートをアプリケーションに統合するための素晴らしい簡単な方法を提供します。

シナリオでは、asp.netメンバーシップを確認できます。ユーザーのパスワードをハッシュされた文字列としてデータベースに保存することをお勧めします。ハッシュされた着信パスワードをデータベースに保存されているパスワードと比較することにより、ユーザーを認証できます。

すべてがこの目的のために構築されています。asp.netメンバーシップをチェックしてください

ハッシュを逆にする必要がない場合は、パスワードをMD5 / SHA1にします。ユーザーがログインするときに、与えられたパスワードを暗号化してハッシュと比較するだけです。この場合、誰かがデータベースにアクセスして、すでに衝突しているハッシュを見つけない限り、ハッシュ衝突はほぼ不可能です。