对于身份验证令牌,是否有针对C#3.0(.NET Framework 3.5)的加密安全伪随机数生成器(CSPRNG)的快速实现?
GUID在为Web应用程序创建会话密钥时会得到很多使用.我一直想知道这种做法的安全性.由于GUID是根据来自机器的信息和时间以及其他一些因素生成的,因此猜测未来可能会出现的GUID有多难.假设您已经启动了1000个或10000个新会话,以获得正在生成的GUID的良好数据集.这是否会使生成可能用于另一个会话的GUID变得更容易.您甚至不必猜测特定的GUID,而只是继续尝试可能在特定时间段生成的GUID.
要开始,并定义guid,我使用.net框架Guid这有点假设情况用户在执行特定操作时会生成guid.每个用户都可以看到自己的guid.如果用户要知道另一个用户的guid之一,则会出现安全性损害.
如果我们认为用户无法窃取另一个用户的guid并且只能猜测它,那么这个系统的安全性如何?
我明白盲目猜测guid是不可能的.即使他们有一百万个成功价值,他们仍然只有10 ^ 20的成功猜测机会
我害怕可能存在的问题是指导预测.用户是否可以生成大量请求,查看他获得的guid,并且知道.net guid生成公式可以大大提高他猜测的几率?这些几率可以降低到安全问题吗?在这种情况下,如何以一种独特的不可猜测的方式生成密钥?
我问任何提到猜测/碰撞几率的人都会增加一些难以理解的含义.要么是用于定义赔率的确切数字,要么是"它可以用于存储帐户数据,而不是用于存储敏感数据"
编辑
这个问题似乎很好地进入了我最初想要探索的领域这个问题 GUID是(临时)加密的一个好关键吗?
据我所知,在使用ServiceStack的身份验证时,您通常会在会话开始时进行身份验证,然后将服务器端的会话标记为已通过身份验证.后续Web服务请求将使用该会话ID,而不需要重新身份验证.(如果到目前为止我错了,请纠正我).
使用SessionExtensions.cs中的 Guid.NewGuid()执行新会话ID的生成,这不会生成加密奇妙的值.是否有任何理由不切换使用加密安全值,例如使用RNGCryptoServiceProvider?
更新:
实际上,在进一步考虑之后,ASP.NET不会使用其会话ID来确认请求者是否经过身份验证.它使用FormsAuthenticationTicket,它已经用机器密钥加密并进行了散列(这里是对ASP.NET 2.0进程的一个很好的描述).
我不是安全人员所以如果你要比较ASP.NET Forms Auth提供的安全级别和随机值提供的安全级别,我不知道这有什么含义.我想这一切都归结为密钥和数据长度......而且对表单身份验证进行暴力攻击所需的时间可能要高得多,因为它不需要只尝试一大堆随机数?