ASP.NET Identity的默认密码哈希器-它如何工作且安全？

ASP.NET Identity的默认密码哈希器-它如何工作且安全？

这是默认实现的工作方式。它使用带有随机盐的键派生函数来生成哈希。盐包含在KDF的输出中。因此，每次您“哈希”相同的密码时，您将获得不同的哈希值。为了验证哈希，将输出拆分回salt和其余部分，然后使用指定的salt对密码再次运行KDF。如果结果与其余初始输出匹配，则验证哈希。

散列：

public static string HashPassword(string password){    byte[] salt;    byte[] buffer2;    if (password == null)    {        throw new ArgumentNullException("password");    }    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, 0x10, 0x3e8))    {        salt = bytes.Salt;        buffer2 = bytes.GetBytes(0x20);    }    byte[] dst = new byte[0x31];    Buffer.BlockCopy(salt, 0, dst, 1, 0x10);    Buffer.BlockCopy(buffer2, 0, dst, 0x11, 0x20);    return Convert.Tobase64String(dst);}

验证中：

public static bool VerifyHashedPassword(string hashedPassword, string password){    byte[] buffer4;    if (hashedPassword == null)    {        return false;    }    if (password == null)    {        throw new ArgumentNullException("password");    }    byte[] src = Convert.Frombase64String(hashedPassword);    if ((src.Length != 0x31) || (src[0] != 0))    {        return false;    }    byte[] dst = new byte[0x10];    Buffer.BlockCopy(src, 1, dst, 0, 0x10);    byte[] buffer3 = new byte[0x20];    Buffer.BlockCopy(src, 0x11, buffer3, 0, 0x20);    using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, dst, 0x3e8))    {        buffer4 = bytes.GetBytes(0x20);    }    return ByteArraysEqual(buffer3, buffer4);}