那些遇到过的问题

用于检索/设置密码和其他敏感数据的安全过程

Gur*_*epS 1 c#

我相信你们中的一些人已经编写了C#类,它们必须从/向数据库设置/获取密码.

我认为敏感的细节不会是纯文本.处理此类数据的推荐程序是什么?一旦检索到文本加密了吗?您是否将pws存储在加密的.xml文件中?

谢谢

Chi*_*Chi 6

  • 切勿以纯文本或完全存储密码.您应该使用加密哈希函数(如SHA-2)存储哈希版本的(密码和盐).
  • 因此'将密码存储在加密的xml文件中'不是正确的方向 - 这意味着您将在某个时刻解密文件,因此可以访问您的所有用户密码(因此,攻击者可以访问如果您的系统遭到入侵,则向您的所有用户提供密码)通过存储哈希,您将无法获得用户的密码,即使您愿意也是如此.
  • 因此,当一个人登录时,您将通过散列该人输入的密码来确认密码是否正确,并将其与您存储的哈希进行比较 - 如果哈希匹配,则密码正确.
  • 如果存储的密码哈希列表受到损害,请始终使用随机生成的使攻击者无法使用 彩虹表来破解密码.
  • 根据应用程序的性质,您应该实施某种密码复杂性规则.

归档时间:

查看次数:

77 次

最近记录:

16 年,6 月 前
相关归档
如果字符串在.NET中是不可变的,那么为什么Substring需要O(n)时间? 446
为什么在"catch"或"finally"范围内的"try"中没有声明变量? 130
什么"扔"; 靠自己呢? 66
C#是否具有List/IEnumerable的IsNullOrEmpty? 66
将StreamReader返回到Beginning 64
尝试激活'AuthController'时无法解析类型'Microsoft.AspNetCore.Identity.UserManager`的服务 63
Html Agility Pack仍然是最好的.NET HTML解析器吗? 57
如果计时器在新的循环时间到来之前无法完成所有工作怎么办? 47
.net 4.0中MemoryCache与ObjectCache有什么区别? 46
等于/等于和==运算符之间的差异? 44
难疑归档
如何删除子模块? 3366
如何在Java中调用另一个构造函数? 2144
Spring中的@ Component,@ Repository和@Service注释有什么区别? 1969
什么是NullReferenceException,我该如何解决? 1876
makefile中.PHONY的目的是什么? 1535
将存储过程的结果插入临时表 1526
在关系数据库中存储分层数据有哪些选项? 1281
如何在git中按名称命名和检索存储? 1276
为什么使用Redux而不是Facebook Flux? 1126
如何在psql中切换数据库? 1029