Quel est le moyen le plus facile pour crypter un mot de passe quand je l'enregistrer dans la base de registre?

Actuellement, je suis en train d'écrire en texte clair oups!, c'est un programme de la maison de sorte qu'il n'est pas si mal mais j'aimerais bien le faire. Comment dois-je aller sur le chiffrement présent lors de l'écriture dans le registre et comment les décrypter?

OurKey.SetValue("Password", textBoxPassword.Text);
  • Il y a une réponse à une question connexe - Simple 2 voies de chiffrement pour le C#
  • Vous pourriez demander à l'utilisateur un mot de passe pour crypter les données. Diviser la chaîne en un tableau de char et de la fonte de caractères en entier et la somme de tous les nombres entiers. Maj chaque octet de la chaîne par la somme et il sera sécurisé.
InformationsquelleAutor | 2008-10-17
  1. 121

    Vous n'avez pas à déchiffrer l'authentification des mots de passe!

    De hachage utilisant quelque chose comme le SHA256 fournisseur et quand vous avez de défi, de hachage à l'entrée de l'utilisateur et de voir si les deux hachages de match.

    byte[] data = System.Text.Encoding.ASCII.GetBytes(inputString);
data = new System.Security.Cryptography.SHA256Managed().ComputeHash(data);
String hash = System.Text.Encoding.ASCII.GetString(data);

    Laissant les mots de passe réversible est un vraiment horrible modèle.

    Edit2: j'ai pensé que nous devions parler de la ligne de front de l'authentification. Bien sûr il ya des cas où vous souhaitez crypter les mots de passe pour d'autres choses qui doivent être réversible, mais il devrait y avoir un 1-way de verrouillage sur le dessus de tout (à quelques exceptions près).

    J'ai mis à jour l'algorithme de hachage mais pour la meilleure résistance possible, vous voulez garder un privé, le sel et l'ajouter à votre entrée avant hachage. Vous voulez faire cela à nouveau lorsque vous comparez des. Cela ajoute une autre couche qui rend encore plus difficile pour quelqu'un de s'inverser.

    • Que faire si vous êtes de la sauver parce que vous avez besoin pour vous connecter à un lecteur réseau au démarrage de l'ordinateur, par exemple? La question n'était pas assez précis à-dire si, à l'aide d'un algorithme de hachage serait possible.
    • Généralement, c'est une mauvaise idée de stocker les mots de passe, mais il y a des raisons légitimes de le faire. Peut-être pas dans le registre, mais... Par exemple, j'ai une application web qui doit accéder à un service web à l'aide d'un service id/mot de passe. Je stocke crypté dans la configuration web.
    • Je vois, oui, je devrais avoir clarifié la déclaration de "l'authentification". Modifications
    • Le point est, vous ne pas stocker les mots de passe de n'importe où parce que 11 fois sur 10 vous sont garantis à faire il pas mieux que si vous aviez stocké en clair. Si vous stockez à clé ou salé à la hache, puis les mots de passe d'origine ne peut jamais être récupéré (c'est une bonne chose)!
    • Pourquoi la demande de justification pour les votes? Si vous pensez qu'il devrait être obligatoire de voter pour la modification de l'INTERFACE utilisateur.
    • "En laissant les mots de passe réversible est vraiment horrible modèle." - si vous voulez enregistrer les mots de passe nécessaires pour s'authentifier auprès d'un service externe, il n'y a pas d'alternative. CredUI est prévu pour le stockage sécurisé des mots de passe chiffrés.
    • il peut donc s'intéresser aux raisons de la voix par l'amélioration de sa réponse.
    • md5 est un mauvais moyen de hachage des mots de passe. À l'aide de sha256 avec une graine est une bien meilleure méthode. Ou au moins crypter le mot de passe avec une graine, puis effectuer un hachage md5 sur elle.
    • s'il vous Plaît ne pas recommander MD5. MD5 n'est pas sans danger pour la sécurisation des mots de passe. MD5 sera vous et votre entreprise dans les nouvelles pour les mauvaises raisons. MD5 est facile à briser. je le répète: MD5 est facile à briser. Ne pas recommander SHA-1 pour les mêmes raisons. Ne recommander PBKDF2, bcrypt, ou même scrypt.
    • Cette réponse, c'est le top hit pour "c# hachage de mot de passe par exemple". S'il vous plaît, pensez aux enfants.
    • Soumettre une modification plutôt que des commentaires. Il est juste là comme un exemple de code.
    • Je ne suis pas à l'aise avec le C# pour modifier d'une autre dans le code, mais, évidemment, je vous encourage à moins d'y ajouter une note à votre répondre à l'appel de l'connu les dangers de l'utilisation de MD5 de hachage des mots de passe.
    • 1) Ne recommandent pas de SHA-2, comme le hachage de mot de passe, il est presque aussi mauvais que MD5 à cette fin. Suivez Nick la recommandation de la place. 2) Vous code en silence remplace tous les caractères non ASCII par des points d'interrogation. Si un mot de passe contenant essentiellement des caractères non-ASCII deviendra bien plus faibles. Utiliser l'UTF-8 à la place. 3) Ne pas utiliser l'ASCII pour la production ou l'autre. Utilisation Base64 ou hex à la place.
    • S'il vous plaît, ne recommande pas l'Encodage.ASCII... Cela tue la capacité d'utiliser les caractères du mot de passe. Envisager UTF8 partout comme universelle de secours... à quelques exceptions près où UTF16 pourrait être plus approprié (comme la performance des opérations de mémoire).

    InformationsquelleAutor Oli
  2. 23

    Veuillez également tenir compte de "salage" votre table de hachage (pas un concept culinaire!). Essentiellement, cela signifie ajoutant quelques aléatoire de texte pour le mot de passe avant de hachage elle.

    "Le sel de la valeur permet de ralentir à un attaquant d'effectuer une attaque par dictionnaire si votre banque d'informations d'identification d'être compromise, vous donnant plus de temps pour détecter et réagir au compromis."

    Pour stocker des mots de passe:

    a) Générer aléatoirement une valeur salt:

    byte[] salt = new byte[32];
System.Security.Cryptography.RNGCryptoServiceProvider.Create().GetBytes(salt);

    b) Ajouter le sel pour le mot de passe.

    //Convert the plain string pwd into bytes
byte[] plainTextBytes = System.Text UnicodeEncoding.Unicode.GetBytes(plainText);
//Append salt to pwd before hashing
byte[] combinedBytes = new byte[plainTextBytes.Length + salt.Length];
System.Buffer.BlockCopy(plainTextBytes, 0, combinedBytes, 0, plainTextBytes.Length);
System.Buffer.BlockCopy(salt, 0, combinedBytes, plainTextBytes.Length, salt.Length);

    c) hacher le combiné mot de passe & sel:

    //Create hash for the pwd+salt
System.Security.Cryptography.HashAlgorithm hashAlgo = new System.Security.Cryptography.SHA256Managed();
byte[] hash = hashAlgo.ComputeHash(combinedBytes);

    d) Ajouter le sel à la résultante de hachage.

    //Append the salt to the hash
byte[] hashPlusSalt = new byte[hash.Length + salt.Length];
System.Buffer.BlockCopy(hash, 0, hashPlusSalt, 0, hash.Length);
System.Buffer.BlockCopy(salt, 0, hashPlusSalt, hash.Length, salt.Length);

    e) Stocker le résultat dans votre magasin d'utilisateur de la base de données.

    Cette approche signifie que vous n'avez pas besoin de stocker le sel séparément puis de recalculer la valeur de hachage en utilisant le sel de la valeur et le mot de passe en clair de la valeur obtenue à partir de l'utilisateur.

    Modifier: Comme la puissance de calcul brute devient moins cher et plus rapide, la valeur de hachage -- ou le salage des hachages-a baissé. Jeff Atwood a une excellente mise à jour 2012 trop longues à répétition dans son intégralité ici qui stipule:

    Ce (à l'aide de salé hachages) donnera l'illusion de la sécurité, plus que tout la sécurité. Puisque vous avez besoin à la fois le sel et le choix de l'algorithme de hachage pour générer le hachage, et de vérifier le hachage, il est peu probable qu'un attaquant aurait une mais pas l'autre. Si vous avez été compromise au point que l'attaquant a votre mot de passe de base de données, il est raisonnable de supposer qu'ils ont ou peuvent obtenir votre secret, caché sel.

    La première règle de sécurité est de toujours assumer et plan pour le pire.
    Devriez-vous utiliser un sel, idéalement un hasard de sel pour chaque utilisateur? Bien sûr, il est
    certainement une bonne pratique, et, au moins, il vous permet de
    distinguer les deux utilisateurs qui ont le même mot de passe. Mais ces jours-ci,
    les sels lui seul ne peut plus vous sauver d'une personne prête à passer une
    quelques milliers de dollars sur la vidéo de la carte, et si vous pensez qu'ils
    pouvez, vous êtes en difficulté.

    • "ajoutant certains de texte aléatoire" rend le son un peu louche. Le texte est statique pour la base de données, non? Le défi est de passer par le même processus, de sorte que.. ouais.. Magasin de sel ou de l'utilisation d'un sel basés sur les données statiques (nom d'utilisateur, ID utilisateur, etc).
    • Je l'ai fait à la fois statique et du texte aléatoire. Je crois que l'argument de l'aléatoire, c'est que si vraiment déterminé hacker parvient à comprendre la statique sel texte, alors qu'ils connaissent le sel pour tous les mots de passe. Otoh, que, il y a un gain de performance à la génération de l'aléatoire sel de texte.
    • Il a été de stockage en clair et que vous êtes inquiet au sujet de sel? Sérieusement?
    • La génération aléatoire de sel, c'est du matraquage. UserID le rendent unique par utilisateur. Si vous souhaitez le modifier régulièrement la dernière connexion d'horodatage présentera une série de continuellement l'évolution des valeurs.
    • Neely: Vous allez utiliser nom d'utilisateur pour le sel? Dans les grandes entreprises, je travaille pour l'Utilisateur est de l'information publique. Nous essayons de sel avec quelque chose de pas facile à deviner par un hacker. Si le sel est un schéma prévisible, cela rend simplement plus facile à pirater. Je suis coller avec Microsoft Modèles & Pratiques en matière de Sécurité des Pratiques (l'article lié, qui, oui, est "à la retraite").
    • Si le mot de passe de la base de données est déjà compromise, puis le sel est connu pour le pirate, le sel n'est pas censé être secret.

    InformationsquelleAutor DOK
  3. 13

    Tom Scott a raison dans sa couverture de comment (ne pas) pour stocker les mots de passe, sur Computerphile.

    https://www.youtube.com/watch?v=8ZtInClXe1Q

    1. Si vous le pouvez à tout l'éviter, ne pas essayer de stocker les mots de passe vous-même. Utiliser un pré-établi, digne de confiance de l'utilisateur plate-forme d'authentification (par exemple: OAuth fournisseurs, vous de la société domaine Active Directory, etc.) au lieu de cela.

    2. Si vous devez stocker des mots de passe, ne pas suivre les conseils ici. Au moins, pas sans la consultation la plus récente et de bonne réputation publications applicables à la langue de votre choix.

    Il y a certainement beaucoup de gens intelligents ici, et probablement même quelques bons conseils donnés. Mais les chances sont fortes pour que, au moment où vous lisez ceci, toutes les réponses ici (y compris celui-ci) sera déjà obsolète.

    La bonne façon de stocker les mots de passe des changements au fil du temps.

    Probablement plus fréquemment que certaines personnes changent leurs sous-vêtements.

    Tout ce que dit, voici quelques conseils généraux qui, nous l'espérons être utile pour un certain temps.

    1. Ne pas crypter les mots de passe. Aucune méthode de stockage qui permet la récupération des données stockées est par nature précaire pour la conservation des mots de passe, de toutes formes de chiffrement inclus.

    2. Processus les mots de passe exactement comme saisi par l'utilisateur au cours du processus de création. Tout ce que vous faites pour le mot de passe avant de l'envoyer à la cryptographie module sera probablement juste de l'affaiblir. L'une des méthodes suivantes aussi ajoute à la complexité du stockage de mot de passe & processus de vérification, ce qui pourrait causer d'autres problèmes (peut-être même d'introduire des vulnérabilités) en bas de la route.

      • Ne vous convertissez pas de majuscules/minuscules.
      • Ne pas supprimer l'espace.
      • Ne coupons pas inacceptable caractères ou chaînes de caractères.
      • De ne pas changer le codage du texte.
      • Ne pas le faire n'importe quel caractère ou chaîne de substitutions.
      • Ne pas tronquer les mots de passe de n'importe quelle longueur.

    3. Rejeter la création de tous les mots de passe ne peuvent pas être stockés sans modification. Renforcement de la ci-dessus. Si il y a quelque raison que votre mot de passe mécanisme de stockage ne peut pas traiter correctement certains caractères, des espaces, des chaînes, ou des longueurs de mot de passe, puis retourne une erreur et permettre à l'utilisateur de connaître les limites du système de sorte qu'ils peuvent réessayer avec un mot de passe qui s'adapte à l'intérieur d'eux. Pour une meilleure expérience utilisateur, faites une liste de ces limitations accessible à l'utilisateur initial. Ne vous inquiétez pas, le laisser seul la peine de cacher la liste d'attaquants - ils le comprendre assez facilement sur leur propre de toute façon.

    4. Utiliser un long, aléatoire et unique sel pour chaque compte. Pas de deux mots de passe des comptes devrait jamais le même aspect dans le stockage, même si les mots de passe sont identiques.
    5. Utilisation lent et les algorithmes de hachage cryptographiques qui sont conçus pour une utilisation avec des mots de passe. MD5 est certainement sortir. SHA-1/SHA-2 sont des no-go. Mais je ne vais pas vous dire ce que vous devrait utiliser ici. (Voir la première #2 de balle dans ce post.)
    6. Itérer autant que vous pouvez tolérer. Alors que votre système peut avoir de meilleures choses à faire avec son processeur cycles de hachage des mots de passe de tous les jours, les gens qui agiteront vos mots de passe ont des systèmes qui ne fonctionnent pas. Le rendre aussi dur sur eux que vous pouvez, sans la rendre "trop dur" sur vous.

    Le plus important...

    Ne vous contentez pas d'écouter n'importe qui ici.

    Aller chercher une bonne réputation et très récente publication sur les méthodes appropriées de stockage de mot de passe pour la langue de votre choix. En fait, vous devriez trouver plusieurs publications récentes à partir de plusieurs sources distinctes qui sont en accord avant de vous installer sur une seule méthode.

    Il est extrêmement possible que tout ce que tout le monde ici (moi y compris) a dit a déjà été remplacée par de meilleures technologies ou rendue précaire par nouvellement développé des méthodes d'attaque. De trouver quelque chose qui est plus probablement que non.

    InformationsquelleAutor Iszi
  4. 11

    C'est ce que vous aimeriez faire:

    OurKey.SetValue("Password", StringEncryptor.EncryptString(textBoxPassword.Text));
OurKey.GetValue("Password", StringEncryptor.DecryptString(textBoxPassword.Text));

    Vous pouvez le faire avec cette les classes suivantes.
    Cette classe est une classe générique est le point de terminaison de client. Il permet CIO de différents algorithmes de chiffrement à l'aide de Ninject.

    public class StringEncryptor
{
    private static IKernel _kernel;

    static StringEncryptor()
    {
        _kernel = new StandardKernel(new EncryptionModule());
    }

    public static string EncryptString(string plainText)
    {
        return _kernel.Get<IStringEncryptor>().EncryptString(plainText);
    }

    public static string DecryptString(string encryptedText)
    {
        return _kernel.Get<IStringEncryptor>().DecryptString(encryptedText);
    }
}

    Cette classe suivante est la ninject classe qui vous permet d'injecter les différents algorithmes:

    public class EncryptionModule : StandardModule
{
    public override void Load()
    {
        Bind<IStringEncryptor>().To<TripleDESStringEncryptor>();
    }
}

    C'est l'interface que tout algorithme doit mettre en œuvre pour crypter/décrypter des chaînes:

    public interface IStringEncryptor
{
    string EncryptString(string plainText);
    string DecryptString(string encryptedText);
}

    C'est une mise en œuvre à l'aide de la TripleDES algorithme:

    public class TripleDESStringEncryptor : IStringEncryptor
{
    private byte[] _key;
    private byte[] _iv;
    private TripleDESCryptoServiceProvider _provider;

    public TripleDESStringEncryptor()
    {
        _key = System.Text.ASCIIEncoding.ASCII.GetBytes("GSYAHAGCBDUUADIADKOPAAAW");
        _iv = System.Text.ASCIIEncoding.ASCII.GetBytes("USAZBGAW");
        _provider = new TripleDESCryptoServiceProvider();
    }

    #region IStringEncryptor Members

    public string EncryptString(string plainText)
    {
        return Transform(plainText, _provider.CreateEncryptor(_key, _iv));
    }

    public string DecryptString(string encryptedText)
    {
        return Transform(encryptedText, _provider.CreateDecryptor(_key, _iv));
    }

    #endregion

    private string Transform(string text, ICryptoTransform transform)
    {
        if (text == null)
        {
            return null;
        }
        using (MemoryStream stream = new MemoryStream())
        {
            using (CryptoStream cryptoStream = new CryptoStream(stream, transform, CryptoStreamMode.Write))
            {
                byte[] input = Encoding.Default.GetBytes(text);
                cryptoStream.Write(input, 0, input.Length);
                cryptoStream.FlushFinalBlock();

                return Encoding.Default.GetString(stream.ToArray());
            }
        }
    }
}

    Vous pouvez regarder ma vidéo et télécharger le code pour pour cela : http://www.wrightin.gs/2008/11/how-to-encryptdecrypt-sensitive-column-contents-in-nhibernateactive-record-video.html

    • Ainsi, la récupération de tous les fichiers inutiles, cette réponse suggère d'utiliser TripleDESCryptoServiceProvider (en général, je ne voudrais pas l'utiliser 3DES lors de la EI et les autres "moderne" des services de chiffrement sont disponibles.)
    • Il est la démonstration de la façon de faire de votre mise en œuvre enfichable avec une méthode de cryptage, plutôt que de recommander une méthode en particulier. Il est bon d'être en mesure de l'échanger cryptage de fissuration des techniques de l'avance au fil du temps.
    InformationsquelleAutor Jamie Wright
  5. 10

    Une option serait de stocker la valeur de hachage (SHA-1, MD5) du mot de passe à la place du mot de passe en clair, et à chaque fois que vous voulez voir si le mot de passe est bon, il suffit de le comparer à celui de hachage.

    Si vous avez besoin de stockage sécurisé (par exemple pour un mot de passe que vous utilisez pour vous connecter à un service), alors le problème est plus compliqué.

    Si c'est juste pour l'authentification, alors il suffit d'utiliser la table de hachage.

    • SHA1 et MD5 pour les mots de passe? Pas de. L'enfer n'.
    • la question et la réponse sont à partir de 8 ans
    • Et mon commentaire vous répondez à est de il y a 5 mois. Votre point de vue? D'ailleurs, je suis assez sûr que, même dans les '08 SHA1 et MD5 ne sont pas acceptables par les algorithmes de hachage de mot de passe sécurisé de stockage.
    InformationsquelleAutor Bogdan Maxim
  6. 9

    Si vous voulez être en mesure de décrypter le mot de passe, je pense que le plus simple serait d'utiliser DPAPI (user mode de stockage) pour crypter/décrypter. De cette façon, vous n'avez pas à jouer avec des clés de chiffrement, les stocker dans un endroit ou du code en dur dans votre code - dans les deux cas, quelqu'un peut découvrir par la recherche dans la base de registre, les paramètres de l'utilisateur ou à l'aide de Réflecteur.

    D'utiliser autrement les hachages SHA1 ou MD5, comme d'autres l'ont dit ici.

    • SHA1 & MD5 sont pas approprié pour le hachage de mot de passe.
    InformationsquelleAutor liggett78
  7. 6

    Comme ligget78 dit, DPAPI serait une bonne solution pour le stockage des mots de passe. Découvrez la ProtectedData classe sur MSDN par exemple l'utilisation.

    InformationsquelleAutor Beau
  8. 5

    Si c'est un mot de passe utilisé pour l'authentification par votre application, puis hacher le mot de passe que d'autres suggèrent.

    Si vous êtes le stockage de mots de passe pour une ressource externe, vous voudrez souvent pour être en mesure de demander à l'utilisateur de ces informations et lui donner la possibilité de les sauvegarder de manière sécurisée. Windows fournit les informations d'Identification de l'INTERFACE utilisateur (CredUI) pour cela, il existe un certain nombre d'échantillons montrant comment l'utiliser dans .NET, y compris ce un sur MSDN.

    InformationsquelleAutor Joe
  9. 5

    J'ai regardé partout pour un bon exemple de chiffrement et de déchiffrement des processus, mais la plupart étaient trop complexes.

    De toute façon, il y a de nombreuses raisons quelqu'un peut vouloir décrypter certaines valeurs de texte, y compris les mots de passe. La raison pour laquelle je besoin pour déchiffrer le mot de passe sur le site, je travaille actuellement est parce qu'ils veulent assurez-vous que lorsque quelqu'un est forcé de changer leur mot de passe lorsqu'il expire que nous ne les laissons pas la changer avec une variante proche de le même mot de passe qu'ils ont utilisé dans les x derniers mois.

    J'ai donc écrit un processus qui va le faire d'une manière simplifiée. J'espère que ce code est bénéfique à quelqu'un. Pour tous je sais que je peut mettre fin à l'aide de cette autre fois pour une autre entreprise/site.

    public string GenerateAPassKey(string passphrase)
{
//Pass Phrase can be any string
string passPhrase = passphrase;
//Salt Value can be any string(for simplicity use the same value as used for the pass phrase)
string saltValue = passphrase;
//Hash Algorithm can be "SHA1 or MD5"
string hashAlgorithm = "SHA1";
//Password Iterations can be any number
int passwordIterations = 2;
//Key Size can be 128,192 or 256
int keySize = 256;
//Convert Salt passphrase string to a Byte Array
byte[] saltValueBytes = Encoding.ASCII.GetBytes(saltValue);
//Using System.Security.Cryptography.PasswordDeriveBytes to create the Key
PasswordDeriveBytes pdb = new PasswordDeriveBytes(passPhrase, saltValueBytes, hashAlgorithm, passwordIterations);
//When creating a Key Byte array from the base64 string the Key must have 32 dimensions.
byte[] Key = pdb.GetBytes(keySize / 11);
String KeyString = Convert.ToBase64String(Key);
return KeyString;
}
//Save the keystring some place like your database and use it to decrypt and encrypt
//any text string or text file etc. Make sure you dont lose it though.
private static string Encrypt(string plainStr, string KeyString)        
{            
RijndaelManaged aesEncryption = new RijndaelManaged();
aesEncryption.KeySize = 256;
aesEncryption.BlockSize = 128;
aesEncryption.Mode = CipherMode.ECB;
aesEncryption.Padding = PaddingMode.ISO10126;
byte[] KeyInBytes = Encoding.UTF8.GetBytes(KeyString);
aesEncryption.Key = KeyInBytes;
byte[] plainText = ASCIIEncoding.UTF8.GetBytes(plainStr);
ICryptoTransform crypto = aesEncryption.CreateEncryptor();
byte[] cipherText = crypto.TransformFinalBlock(plainText, 0, plainText.Length);
return Convert.ToBase64String(cipherText);
}
private static string Decrypt(string encryptedText, string KeyString) 
{
RijndaelManaged aesEncryption = new RijndaelManaged(); 
aesEncryption.KeySize = 256;
aesEncryption.BlockSize = 128; 
aesEncryption.Mode = CipherMode.ECB;
aesEncryption.Padding = PaddingMode.ISO10126;
byte[] KeyInBytes = Encoding.UTF8.GetBytes(KeyString);
aesEncryption.Key = KeyInBytes;
ICryptoTransform decrypto = aesEncryption.CreateDecryptor(); 
byte[] encryptedBytes = Convert.FromBase64CharArray(encryptedText.ToCharArray(), 0, encryptedText.Length); 
return ASCIIEncoding.UTF8.GetString(decrypto.TransformFinalBlock(encryptedBytes, 0, encryptedBytes.Length)); 
}
String KeyString = GenerateAPassKey("PassKey");
String EncryptedPassword = Encrypt("25Characterlengthpassword!", KeyString);
String DecryptedPassword = Decrypt(EncryptedPassword, KeyString);
    InformationsquelleAutor Deathstalker
  10. 1

    Si vous avez besoin de plus que cela, par exemple la sécurisation d'une chaîne de connexion (pour la connexion à une base de données), cochez cette l'article, car il offre le meilleur "option" pour cela.

    Oli réponse est aussi bonne, car elle montre comment vous pouvez créer un hash d'une chaîne.

    InformationsquelleAutor Bogdan Maxim
  11. 0

    ..NET fournit cryptographics services dans les classes contenues dans le
    Système.De sécurité.La cryptographie espace de noms.

    • Cette réponse est tellement large que c'est inutile. Choisir le bon crypto et de l'exécuter correctement est la partie la plus difficile, et de ne pas trouver où la crypto classes sont.
    InformationsquelleAutor osp70
  12. -1

    Plutôt que de chiffrer/déchiffrer, vous devriez être en train de passer le mot de passe par le biais d'un algorithme de hachage, md5/sha512, ou similaire. Ce que vous devrait idéalement faire est de hacher le mot de passe et de stocker la valeur de hachage, puis, quand le mot de passe est nécessaire, vous hachage de l'entrée et de comparer les entrées. Un mot de passe sera alors de ne jamais être "décrypté", tout simplement haché, puis de les comparer.

    • MD5 pour les mots de passe? PAS de.
    • Pourquoi pas...?
    • En bref, deux raisons: 1. C'est cassé. 2. C'est rapide.
    • De sorte que recommanderiez-vous pour stocker les mots de passe?
    InformationsquelleAutor Jeremy B.