ASP.NET Identityのデフォルトのパスワードハッシャー-どのように機能し、安全ですか?

162

MVC 5とASP.NET Identity Frameworkに付属するUserManagerにデフォルトで実装されているPassword Hasherが十分に安全かどうか疑問に思っています。もしそうなら、それがどのように機能するかを私に説明できますか?

IPasswordHasherインターフェイスは次のようになります。

public interface IPasswordHasher
{
    string HashPassword(string password);
    PasswordVerificationResult VerifyHashedPassword(string hashedPassword, 
                                                       string providedPassword);
}

ご覧のように、ソルトは使用しませんが、このスレッドで言及されています: " Asp.net Identity password hashing "は、バックグラウンドでソルトを実行します。それで、これはどのように行われるのでしょうか?そして、この塩はどこから来たのですか?

私の懸念は、塩が静的であり、非常に安全ではないことです。

c#  asp.net  security  passwords  asp.net-identity 
アンドレスネデコック
ソース
私はこれがあなたの質問に直接答えるとは思いませんが、Brock Allenはここにあなたの懸念のいくつかについて書いています=> brockallen.com/2013/10/20/…また、さまざまなオープンソースのユーザーID管理および認証ライブラリも書いていますパスワードのリセット、ハッシュなどのボイラープレート機能。github.com/brockallen/BrockAllen.MembershipReboot
Shiva
@Shivaありがとう、ライブラリとページのビデオを調べます。しかし、外部のライブラリを扱う必要はありません。私がそれを避けることができれば。
アンドレ・Snedeコック
2
参考:スタックオーバーフローと同等のセキュリティ。したがって、ここではよく/正しい答えが得られますが。専門家はsecurity.stackexchange.comを利用しており、 特に「安全ですか」というコメントは同様の種類の質問でしたが、回答の深さと質はすばらしかったです。
phil soady 2013
@philsoadyありがとう、それは当然のことですが、Imはすでに他の「サブフォーラム」のいくつかに参加しています。回答が得られない場合は、使用できますsecuriry.stackexchange.com。次に移動します。そして先端をありがとう!
アンドレ・Snedeコック

回答:

227

デフォルトの実装(ASP.NET FrameworkまたはASP.NET Core)の仕組みは次のとおりです。鍵導出関数を使用していますハッシュを生成するためにランダムなソルトを持つをます。ソルトは、KDFの出力の一部として含まれています。したがって、同じパスワードを「ハッシュ」するたびに、異なるハッシュが得られます。ハッシュを確認するために、出力はソルトと残りに分割され、KDFは指定されたソルトを使用してパスワードで再度実行されます。結果が残りの初期出力と一致する場合、ハッシュが検証されます。

ハッシュ:

public static string HashPassword(string password)
{
    byte[] salt;
    byte[] buffer2;
    if (password == null)
    {
        throw new ArgumentNullException("password");
    }
    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, 0x10, 0x3e8))
    {
        salt = bytes.Salt;
        buffer2 = bytes.GetBytes(0x20);
    }
    byte[] dst = new byte[0x31];
    Buffer.BlockCopy(salt, 0, dst, 1, 0x10);
    Buffer.BlockCopy(buffer2, 0, dst, 0x11, 0x20);
    return Convert.ToBase64String(dst);
}

確認:

public static bool VerifyHashedPassword(string hashedPassword, string password)
{
    byte[] buffer4;
    if (hashedPassword == null)
    {
        return false;
    }
    if (password == null)
    {
        throw new ArgumentNullException("password");
    }
    byte[] src = Convert.FromBase64String(hashedPassword);
    if ((src.Length != 0x31) || (src[0] != 0))
    {
        return false;
    }
    byte[] dst = new byte[0x10];
    Buffer.BlockCopy(src, 1, dst, 0, 0x10);
    byte[] buffer3 = new byte[0x20];
    Buffer.BlockCopy(src, 0x11, buffer3, 0, 0x20);
    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, dst, 0x3e8))
    {
        buffer4 = bytes.GetBytes(0x20);
    }
    return ByteArraysEqual(buffer3, buffer4);
}
アンドリュー・サビニク
ソース
7
したがって、これを正しく理解すると、HashPassword関数は両方を同じ文字列で返しますか?そして、それを確認すると、それを再度分割し、受信したクリアテキストのパスワードを、分割されたソルトでハッシュし、元のハッシュと比較しますか?
アンドレ・Snedeコック
9
@AndréSnedeHansen、まさに。また、セキュリティまたは暗号化SEについて質問することをお勧めします。「安全ですか」の部分は、それぞれのコンテキストでより適切に対処できます。
Andrew Savinykh
1
上記の回答に記載されている@shajeerpuzhakkal。
Andrew Savinykh 2017
3
@AndrewSavinykh私が知っている、それが私が尋ねている理由です-ポイントは何ですか?コードをよりスマートにするには?;)私が10進数を使用して数を数える原因は、かなり直感的です(結局、10本の指があります-少なくとも私たちの大部分)。したがって、16進数を使用して何かを宣言すると、不要なコードの難読化のように見えます。
Andrew Cyrul 2017
1
@ MihaiAlexandru-Ionut- var hashedPassword = HashPassword(password); var result = VerifyHashedPassword(hashedPassword, password);あなたがする必要があるものです。その後resultはtrue が含まれています。
Andrew Savinykh、2013
43

最近のASP.NETはオープンソースであるため、GitHubで見つけることができます: AspNet.Identity 3.0およびAspNet.Identity 2.0

コメントから:

/* =======================
 * HASHED PASSWORD FORMATS
 * =======================
 * 
 * Version 2:
 * PBKDF2 with HMAC-SHA1, 128-bit salt, 256-bit subkey, 1000 iterations.
 * (See also: SDL crypto guidelines v5.1, Part III)
 * Format: { 0x00, salt, subkey }
 *
 * Version 3:
 * PBKDF2 with HMAC-SHA256, 128-bit salt, 256-bit subkey, 10000 iterations.
 * Format: { 0x01, prf (UInt32), iter count (UInt32), salt length (UInt32), salt, subkey }
 * (All UInt32s are stored big-endian.)
 */
ネリス
ソース
はい、そして注目に値します、zespriが示しているアルゴリズムへの追加があります。
–AndréSnede Kock 2016
1
GitHubのソースはAsp.Net.Identity 3.0で、これはまだプレリリース版です。2.0ハッシュ関数のソースはCodePlexにあります
David
1
最新の実装はgithub.com/dotnet/aspnetcore/blob/master/src/Identity/…にあります。彼らは他のリポジトリをアーカイブしました;)
FranzHuber23
32

受け入れられた回答を理解し、賛成票を投じましたが、ここでは素人の回答をダンプすると思いました...

ハッシュを作成する

  1. ソルトは、ハッシュとソルトを生成する関数Rfc2898DeriveBytesを使用してランダムに生成され ます。Rfc2898DeriveBytesへの入力は、パスワード、生成するソルトのサイズ、および実行するハッシュ反復の数です。 https://msdn.microsoft.com/en-us/library/h83s4e12(v=vs.110).aspx
  2. 次にソルトとハッシュが一緒にマッシュされ(ソルトが最初にハッシュが続く)、文字列としてエンコードされます(ソルトはハッシュにエンコードされます)。このソルトとハッシュを含むこのエンコードされたハッシュは、ユーザーに対してデータベースに(通常は)保存されます。

ハッシュに対してパスワードをチェックする

ユーザーが入力したパスワードを確認する。

  1. ソルトは、保存されているハッシュされたパスワードから抽出されます。
  2. ソルトは、ソルトを生成する代わりにソルトを取るRfc2898DeriveBytesのオーバーロードを使用して、ユーザー入力パスワードをハッシュするために使用されます。https://msdn.microsoft.com/en-us/library/yx129kfs(v=vs.110).aspx
  3. 次に、保存されているハッシュとテストハッシュが比較されます。

ハッシュ

裏では、ハッシュはSHA1ハッシュ関数(https://en.wikipedia.org/wiki/SHA-1)を使用して生成されます)。この関数は繰り返し1000回呼び出されます(デフォルトのIdentity実装では)

なぜこれは安全ですか

  • ランダムソルトとは、攻撃者が事前に生成されたハッシュのテーブルを使用してパスワードを解読できないことを意味します。彼らはすべての塩のハッシュテーブルを生成する必要があります。(ここでは、ハッカーもあなたの塩を危険にさらしていると想定しています)
  • 2つのパスワードが同一の場合、ハッシュは異なります。(攻撃者が「一般的な」パスワードを推測できないことを意味します)
  • SHA1を1000回繰り返し呼び出すことは、攻撃者もこれを行う必要があることを意味します。スーパーコンピュータに時間がない限り、ハッシュからパスワードを総当たりするのに十分なリソースがないという考えです。特定のソルトのハッシュテーブルを生成する時間を大幅に遅くします。
ナトラス
ソース
ご説明ありがとうございます。「ハッシュの作成2.」あなたはソルトとハッシュが一緒にマッシュされていると言っていますが、これがAspNetUsersテーブルのPasswordHashに格納されているかどうか知っていますか。塩はどこにでも保管されていますか?
unicorn2 2018年
1
@ unicorn2 Andrew Savinykhの答えを見てみると...ハッシュに関するセクションでは、ソルトはBase64エンコードされてデータベースに書き込まれたバイト配列の最初の16バイトに格納されているようです。このBase64エンコードされた文字列は、PasswordHashテーブルで確認できます。Base64文字列について言えることは、おおよそ、最初の3分の1がソルトであることです。意味のあるソルトは、PasswordHashテーブルに格納されている完全な文字列のBase64デコードバージョンの最初の16バイトです
Nattrass
@Nattrass、ハッシュとソルトについての私の理解はかなり初歩的ですが、ハッシュされたパスワードから簡単にソルトを抽出できる場合、そもそもソルト化のポイントは何ですか。私はソルトがハッシュアルゴリズムへの追加の入力であり、簡単に推測できないことを意図していると思いました。
-NSout
1
@NSouth一意のソルトは、特定のパスワードに対してハッシュを一意にします。したがって、2つの同じパスワードは異なるハッシュを持ちます。ハッシュとソルトにアクセスできても、攻撃者にパスワードを覚えさせることはできません。ハッシュは元に戻せません。それでも、可能な限りすべてのパスワードを通じて、ブルートフォースを実行する必要があります。独自のソルトは、ハッカーがユーザーテーブル全体を取得できた場合、特定のハッシュの頻度分析を行って一般的なパスワードを推測できないことを意味します。
Nattrass
8

私にとってこれが初めての人のために、ここにconstを含むコードと、byte []を比較する実際の方法があります。私はこのすべてのコードをstackoverflowから取得しましたが、値を変更できるようにconstsを定義しました

// 24 = 192 bits
    private const int SaltByteSize = 24;
    private const int HashByteSize = 24;
    private const int HasingIterationsCount = 10101;


    public static string HashPassword(string password)
    {
        // http://stackoverflow.com/questions/19957176/asp-net-identity-password-hashing

        byte[] salt;
        byte[] buffer2;
        if (password == null)
        {
            throw new ArgumentNullException("password");
        }
        using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, SaltByteSize, HasingIterationsCount))
        {
            salt = bytes.Salt;
            buffer2 = bytes.GetBytes(HashByteSize);
        }
        byte[] dst = new byte[(SaltByteSize + HashByteSize) + 1];
        Buffer.BlockCopy(salt, 0, dst, 1, SaltByteSize);
        Buffer.BlockCopy(buffer2, 0, dst, SaltByteSize + 1, HashByteSize);
        return Convert.ToBase64String(dst);
    }

    public static bool VerifyHashedPassword(string hashedPassword, string password)
    {
        byte[] _passwordHashBytes;

        int _arrayLen = (SaltByteSize + HashByteSize) + 1;

        if (hashedPassword == null)
        {
            return false;
        }

        if (password == null)
        {
            throw new ArgumentNullException("password");
        }

        byte[] src = Convert.FromBase64String(hashedPassword);

        if ((src.Length != _arrayLen) || (src[0] != 0))
        {
            return false;
        }

        byte[] _currentSaltBytes = new byte[SaltByteSize];
        Buffer.BlockCopy(src, 1, _currentSaltBytes, 0, SaltByteSize);

        byte[] _currentHashBytes = new byte[HashByteSize];
        Buffer.BlockCopy(src, SaltByteSize + 1, _currentHashBytes, 0, HashByteSize);

        using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, _currentSaltBytes, HasingIterationsCount))
        {
            _passwordHashBytes = bytes.GetBytes(SaltByteSize);
        }

        return AreHashesEqual(_currentHashBytes, _passwordHashBytes);

    }

    private static bool AreHashesEqual(byte[] firstHash, byte[] secondHash)
    {
        int _minHashLength = firstHash.Length <= secondHash.Length ? firstHash.Length : secondHash.Length;
        var xor = firstHash.Length ^ secondHash.Length;
        for (int i = 0; i < _minHashLength; i++)
            xor |= firstHash[i] ^ secondHash[i];
        return 0 == xor;
    }

カスタムApplicationUserManagerで、上記のコードを含むクラスの名前にPasswordHasherプロパティを設定します。

凍える
ソース
これについて.. _passwordHashBytes = bytes.GetBytes(SaltByteSize); あなたがこれを意味したと思います_passwordHashBytes = bytes.GetBytes(HashByteSize);..どちらも同じサイズですが、一般的には..
Akshatha
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.