데이터베이스에 비밀번호를 저장하는 가장 좋은 방법

인증이 필요한 프로젝트 (사용자 이름 및 비밀번호)를 작업 중입니다.

또한 데이터베이스에 연결되므로 사용자 이름과 비밀번호를 저장할 것이라고 생각했습니다. 그러나 데이터베이스에있는 테이블의 텍스트 필드처럼 암호를 갖는 것은 좋은 생각이 아닙니다.

C #을 사용하고 2008 Express 서버에 연결하고 있습니다. 이 유형의 데이터를 저장하는 가장 좋은 방법은 무엇입니까?

추신 : 나는 합리적인 이유를 제공 할 수 있다면이 정보가 데이터베이스에 저장되지 않는다는 생각에 개방적입니다.

일반 텍스트 필드에 비밀번호를 저장하는 것은 끔찍한 아이디어입니다. 그러나 location이 진행 되는 한 데이터베이스에 비밀번호 표시 를 저장하는 대부분의 경우 (그리고 솔직히 반대의 예는 생각할 수 없습니다) 대부분의 경우 올바른 조치입니다. 표현함으로써 당신이 해시 (모든 사용자 달라야) 소금 안전한 단방향 알고리즘 및 저장 사용하여 암호 원하는 것을 의미 하는 것이 , 원래 암호를 버리고합니다. 그런 다음 암호를 확인하려면 동일한 해싱 알고리즘과 솔트를 사용하여 값을 해시하고 데이터베이스의 해시 값과 비교합니다.

그래서, 당신이 이것에 대해 생각하고 좋은 질문이지만 좋은 질문이지만, 실제로는 적어도 이러한 질문들과 중복됩니다.

• 사용자 정보와 사용자 로그인 및 비밀번호를 가장 잘 저장하는 방법
• 데이터베이스 비밀번호 저장을위한 우수 사례
• 비밀번호 소금에 절인 : 모범 사례?
• PHP 변수 또는 PHP 상수에 일반 텍스트로 비밀번호를 저장해도 괜찮습니까?

솔트 비트에 대해 좀 더 명확하게 설명하기 위해 단순히 암호를 해시하고 저장하는 위험은 침입자가 데이터베이스를 보유하더라도 레인보우 테이블 이라고 알려진 것을 사용 하여 "암호 해독"할 수 있다는 것입니다. 암호 (무지개 레인보우 테이블에 표시되는 암호). 이 문제를 해결하기 위해 개발자는 암호에 소금 을 추가하여 올바르게 수행하면 무지개 공격을하기가 불가능 해집니다. 일반적인 오해는 모든 암호에 동일하고 긴 문자열을 동일하게 추가하는 것입니다. 이것은 끔찍한 것은 아니지만 모든 암호에 고유 한 소금을 추가하는 것이 가장 좋습니다. 자세한 내용을 읽으십시오.

배경 당신은 결코 ... 정말 ... 사용자의 암호를 알아야합니다. 수신 사용자가 계정의 비밀번호를 알고 있는지 확인하기 만하면됩니다.

해시 : 강력한 해시 기능을 통해 해시 된 (단방향 암호화) 사용자 비밀번호를 저장합니다. "c # 암호화 암호"를 검색하면 많은 예제가 제공됩니다.

해시 함수가 생성하는 것에 대한 아이디어 는 온라인 SHA1 해시 작성자 를 참조하십시오 (그러나 SHA1을 해시 함수로 사용하지 말고 SHA256과 같은 강력한 것을 사용하십시오).

이제 해시 된 비밀번호는 사용자 (및 데이터베이스 도둑)가 해당 해시를 원래 비밀번호로 되돌릴 수 없어야 함을 의미합니다.

사용 방법 : 그러나 데이터베이스에 저장된이 으스스한 암호를 어떻게 사용합니까?

사용자가 로그인하면 사용자 이름과 비밀번호를 원래 텍스트로 전달합니다. 동일한 해시 코드를 사용하여 입력 한 비밀번호를 해시하여 저장된 버전을 가져옵니다.

따라서 두 개의 해시 비밀번호 (사용자 이름에 대한 데이터베이스 해시 및 입력 및 해시 비밀번호)를 비교하십시오. 해시를 비교하여 "입력 한 내용"과 "원래 사용자가 암호를 입력 한 내용"이 일치하는지 알 수 있습니다.

추가 크레딧 :

질문 : 데이터베이스가 있다면 John the Ripper와 같은 크래커를 사용하여 저장된 해시 비밀번호와 일치하는 것을 찾을 때까지 해시를 시작할 수 없습니까? (사용자가 짧고 사전 단어를 선택했기 때문에 ... 쉽습니다)

답 : 예 ... 가능합니다.

따라서 비밀번호를 '소금'해야합니다. 소금에 관한 Wikipedia 기사를 참조하십시오

참조 "어떻게 소금 해시 데이터에"C # 예제

sha-512와 같은 보안 알고리즘을 사용하여 키로 강화 된 솔트 해시입니다.

최상의 보안 방법은 암호를 전혀 저장하지 않고 암호화 된 암호의 소금에 절인 해시 (암호 당 고유 한 소금으로)를 저장하는 것입니다.

그렇게하면 평문 암호를 검색하는 것이 (실제적으로) 불가능합니다.

충분한 무지개 테이블 : 보안 암호 체계에 대해 알아야 할 사항 [데드 링크, 인터넷 보관소에 복사 ] 및 암호를 안전하게 저장하는 방법을 읽어 보는 것이 좋습니다 .

제 자신도 포함 된 많은 코더들은 보안과 해싱을 이해한다고 생각합니다. 슬프게도 우리 대부분은 그렇지 않습니다.

사용자 이름과 비밀번호가 필요하다고 언급하면서 주제가 약간 벗어 났을 수 있으며 문제에 대한 나의 이해가 최고는 아니지만 OpenID가 고려해야 할 가치가 있습니까?

OpenID를 사용하는 경우 기술을 올바르게 이해하고 사용자가 이미 보유한 자격 증명을 사용할 수 있으므로 자격 증명을 전혀 저장하지 않아도 응용 프로그램과 관련된 새 ID를 만들 필요가 없습니다.

해당 응용 프로그램이 순전히 내부 용인 경우에는 적합하지 않을 수 있습니다.

RPX 는 OpenID 지원을 응용 프로그램에 통합 할 수있는 좋은 방법을 제공합니다.

시나리오에서 asp.net 멤버쉽을 볼 수 있으므로 데이터베이스에 사용자의 비밀번호를 해시 문자열로 저장하는 것이 좋습니다. 해시 된 수신 비밀번호와 데이터베이스에 저장된 비밀번호를 비교하여 사용자를 인증 할 수 있습니다.

이 목적을 위해 모든 것이 구축되었습니다. asp.net 멤버십을 확인하십시오.

해시를 되돌릴 필요가 없으면 MD5 / SHA1 암호를 사용합니다. 사용자가 로그인하면 제공된 비밀번호를 암호화하여 해시와 비교할 수 있습니다. 이 경우 누군가가 데이터베이스에 액세스하여 충돌이있는 해시를 보지 않는 한 해시 충돌은 거의 불가능합니다.