ASP.NET 2.0的用户密码加密机制探讨

 摘要：
  
  1 加Salt散列
  2 ASP.NET 2.0 Membership中与密码散列有关的代码
  
  声明：本文所罗列之源代码均通过Reflector取自.NET Framework类库，Anders Liu引用这些代码仅出于学习和研究的目的。
  
  前一段关于密码的存储问题产生了一些讨论。我所看到的景象是，首先在cnbeta新闻中提到中国某银行将强制冻结密码过于简单（如6个8）的帐户，引发了争论。一方认为银行采用明文存放用户密码；另一方则认为，即便密码是经过散列存放的，但只要得到“6个8”的散列值，通过对比散列值也可以发现具有特定密码的用户。
  
  后来在博客园（cnblogs.com）也看到有朋友发帖讨论了密码的散列存储，再后来在MVP的QQ群里也就这个问题小小议论了一番。
  
  其实，对密码进行散列存储不是一个新鲜话题了，解决起来也不是很难，但很多人还是不大了解。Anders Liu这个小文只是强调一下“加Salt散列”这个简单的技术，并给出ASP.NET Membership所使用的代码。
  
  本来打算写一篇介绍如何实现用户登录功能的文章的，但因为时间有限，所以先介绍一下密码的散列，下一篇再介绍用户登录。
  
  ----
  
  1 密码必须散列存储
  
  （内容略）
  
  2 加Salt散列
  
  我们知道，如果直接对密码进行散列，那么黑客（统称那些有能力窃取用户数据并企图得到用户密码的人）可以对一个已知密码进行散列，然后通过对比散列值得到某用户的密码。换句话说，虽然黑客不能取得某特定用户的密码，但他可以知道使用特定密码的用户有哪些。
  
  加Salt可以一定程度上解决这一问题。所谓加Salt，就是加点“佐料”。其基本想法是这样的——当用户首次提供密码时（通常是注册时），由系统自动往这个密码里撒一些“佐料”，然后再散列。而当用户登录时，系统为用户提供的代码撒上同样的“佐料”，然后散列，再比较散列值，已确定密码是否正确。
  
  这里的“佐料”被称作“Salt值”，这个值是由系统随机生成的，并且只有系统知道。这样，即便两个用户使用了同一个密码，由于系统为它们生成的salt值不同，他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户，但这个几率太小了（密码和salt值都得和黑客使用的一样才行）。
  
  下面详细介绍一下加Salt散列的过程。介绍之前先强调一点，前面说过，验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。
  
  图1. 用户注册
  
  如图1所示，注册时，
  
  1）用户提供密码（以及其他用户信息）；
  2）系统为用户生成Salt值；
  3）系统将Salt值和用户密码连接到一起；
  4）对连接后的值进行散列，得到Hash值；
  5）将Hash值和Salt值分别放到数据库中。
  
  
  如图2所示，登录时，
  
  1）用户提供用户名和密码；
  2）系统通过用户名找到与之对应的Hash值和Salt值；
  3）系统将Salt值和用户提供的密码连接到一起；
  4）对连接后的值进行散列，得到Hash'（注意有个“撇”）；
  5）比较Hash和Hash'是否相等，相等则表示密码正确，否则表示密码错误。
  
  3 ASP.NET 2.0 Membership中的相关代码
  
  （省略关于Membership的介绍若干字）
  
  本文Anders Liu仅研究了SqlMembershipProvider，该类位于System.Web.dll，System.Web.Security命名空间中。
  
  首先，要使用Membership，必须先用aspnet_regsql.exe命令来配置数据库，该工具会向现有数据库中添加一系列表和存储过程等，配置好的数据库中有一个表aspnet_Membership，就是用于存放用户帐户信息的。其中我们所关注的列有三个——Password、PasswordFormat和PasswordSalt。
  
  Password存放的是密码的散列值，PasswordFormat存放用于散列密码所使用的算法，PasswordSalt就是系统生成的Salt值了。
  
  注册时用到了该类的CreateUser方法，该方法主要代码如下：
  
  
  
  CreateUser
  public override MembershipUser CreateUser(string username, string password, string email, string passwordQuestion, string passwordAnswer, bool isApproved, object providerUserKey, out MembershipCreateStatus status)
  {
   string str3;
   MembershipUser user;
   if (!SecUtility.ValidateParameter(ref password, true, true, false, 0x80))
   {
   status = MembershipCreateStatus.InvalidPassword;
   return null;
   }
   // 生成salt值
   string salt = base.GenerateSalt();
   // 结合salt值对密码进行散列
   string objValue = base.EncodePassword(password, (int) this._PasswordFormat, salt);

（编辑：IT资讯之家 www.it55.com）