我正在寻找一种经过FIPS验证的哈希算法来将密码存储在数据库中。我确实使用了以下代码,但我仍然得到错误
此实现不是Windows平台FIPS验证的加密算法的一部分。
SHA1CryptoServiceProvider Testsha1 = new SHA1CryptoServiceProvider();
byte[] hashedBytes;
UTF8Encoding encoder = new UTF8Encoding();
hashed = Testsha1.ComputeHash(encoder.GetBytes(strPassword));
StringBuilder sb = new StringBuilder();
for (int i = 0; i < hashed.Length; i++)
{
sbuilder.Append(hashed[i].ToString("x2"));
}
string Password = sb.ToString();
不应使用普通SHA-1来存储密码。PBKDF2是一个不错的选择。在.net中,您可以将它与Rfc2898DeriveBytes类一起使用。看见https://security.stackexchange.com/questions/2131/reference-implementation-of-c-password-hashing-and-verification/2136#2136
您可能需要将基础哈希函数更改为SHA-256。据我记忆所及,SHA-1未经NIST批准。
在web.config中system.web部分下添加以下行
<machineKey validationKey="AutoGenerate,IsolateApps" ecryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>
解决了我的问题
我正在寻找一个FIPS验证的哈希算法来存储数据库中的密码。
使用SHA-2族中的一个哈希。例如,SHA256。
不要使用托管类-它们没有经过FIPS验证。相反,使用SHA256CryptoServiceProvider和好友。