ASP.NET Identityのデフォルトのパスワードハッシュ-どのように機能し、安全ですか?
MVC 5およびASP.NET Identity Frameworkに付属している serManager でデフォルトで実装されているPassword Hasherが十分に安全かどうか疑問に思っています。もしそうなら、あなたはそれがどのように機能するかを私に説明できますか?
IPasswordHasherインターフェイスは次のようになります。
public interface IPasswordHasher
{
string HashPassword(string password);
PasswordVerificationResult VerifyHashedPassword(string hashedPassword,
string providedPassword);
}
ご覧のとおり、ソルトは使用しませんが、このスレッドで言及されています: " Asp.net Identity password hashing "背後で実際にソルトを実行するだから私はそれがどのようにこれを行うのだろうかと思っていますか?そして、この塩はどこから来たのですか?
私の懸念は、塩が静的であり、非常に安全でないことです。
デフォルトの実装 の仕組みを次に示します。 Key Derivation Function とランダムソルトを使用してハッシュを生成します。ソルトは、KDFの出力の一部として含まれています。したがって、同じパスワードを「ハッシュ」するたびに、異なるハッシュが得られます。ハッシュを検証するために、出力はソルトと残りに分割され、指定されたソルトを使用してパスワードでKDFが再度実行されます。結果が初期出力の残りと一致する場合、ハッシュが検証されます。
ハッシュ:
public static string HashPassword(string password)
{
byte[] salt;
byte[] buffer2;
if (password == null)
{
throw new ArgumentNullException("password");
}
using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, 0x10, 0x3e8))
{
salt = bytes.Salt;
buffer2 = bytes.GetBytes(0x20);
}
byte[] dst = new byte[0x31];
Buffer.BlockCopy(salt, 0, dst, 1, 0x10);
Buffer.BlockCopy(buffer2, 0, dst, 0x11, 0x20);
return Convert.ToBase64String(dst);
}
検証中:
public static bool VerifyHashedPassword(string hashedPassword, string password)
{
byte[] buffer4;
if (hashedPassword == null)
{
return false;
}
if (password == null)
{
throw new ArgumentNullException("password");
}
byte[] src = Convert.FromBase64String(hashedPassword);
if ((src.Length != 0x31) || (src[0] != 0))
{
return false;
}
byte[] dst = new byte[0x10];
Buffer.BlockCopy(src, 1, dst, 0, 0x10);
byte[] buffer3 = new byte[0x20];
Buffer.BlockCopy(src, 0x11, buffer3, 0, 0x20);
using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, dst, 0x3e8))
{
buffer4 = bytes.GetBytes(0x20);
}
return ByteArraysEqual(buffer3, buffer4);
}
最近ASP.NETはオープンソースであるため、GitHubで見つけることができます: AspNet.Identity 3. および AspNet.Identity 2. 。
コメントから:
/* =======================
* HASHED PASSWORD FORMATS
* =======================
*
* Version 2:
* PBKDF2 with HMAC-SHA1, 128-bit salt, 256-bit subkey, 1000 iterations.
* (See also: SDL crypto guidelines v5.1, Part III)
* Format: { 0x00, salt, subkey }
*
* Version 3:
* PBKDF2 with HMAC-SHA256, 128-bit salt, 256-bit subkey, 10000 iterations.
* Format: { 0x01, prf (UInt32), iter count (UInt32), salt length (UInt32), salt, subkey }
* (All UInt32s are stored big-endian.)
*/
私は受け入れられた答えを理解し、賛成票を投じましたが、ここに私の素人の答えを捨てると思いました...
ハッシュの作成
- ソルトは、ハッシュとソルトを生成する関数Rfc2898DeriveBytesを使用してランダムに生成されます。 Rfc2898DeriveBytesへの入力は、パスワード、生成するソルトのサイズ、および実行するハッシュ反復の数です。 https://msdn.Microsoft.com/en-us/library/h83s4e12(v = vs.110).aspx
- 次に、ソルトとハッシュが一緒にマッシュされ(ソルトが最初にハッシュに続く)、文字列としてエンコードされます(したがって、ソルトはハッシュにエンコードされます)。このエンコードされたハッシュ(ソルトとハッシュを含む)は、ユーザーに対してデータベースに(通常)保存されます。
ハッシュとパスワードの照合
ユーザーが入力したパスワードを確認します。
- 保存されたハッシュ化されたパスワードからソルトが抽出されます。
- Saltは、Rfc2898DeriveBytesのオーバーロードを使用してユーザー入力パスワードをハッシュ化するために使用されます。 https://msdn.Microsoft.com/en-us/library/yx129kfs(v = vs.110).aspx
- 次に、保存されたハッシュとテストハッシュが比較されます。
ハッシュ
カバーの下では、SHA1ハッシュ関数( https://en.wikipedia.org/wiki/SHA-1 )を使用してハッシュが生成されます。この関数は1000回繰り返し呼び出されます(デフォルトのIdentity実装で)
なぜこれが安全なのか
- ランダムソルトとは、攻撃者が事前に生成されたハッシュのテーブルを使用してパスワードを解読できないことを意味します。ソルトごとにハッシュテーブルを生成する必要があります。 (ここで、ハッカーがあなたの塩も危険にさらしたと仮定します)
- 2つのパスワードが同一の場合、ハッシュが異なります。 (つまり、攻撃者は「共通」パスワードを推測できないことを意味します)
- SHA1を1000回繰り返し呼び出すと、攻撃者もこれを行う必要があります。スーパーコンピューターで時間がない限り、ハッシュからパスワードをブルートフォースするのに十分なリソースがないという考えです。特定のソルトのハッシュテーブルを生成する時間を大幅に遅くします。
これにまったく慣れていない人のために、constを使用したコードとbyte []を比較する実際の方法を以下に示します。このコードはすべてstackoverflowから取得しましたが、値を変更できるようにconstを定義しました
// 24 = 192 bits
private const int SaltByteSize = 24;
private const int HashByteSize = 24;
private const int HasingIterationsCount = 10101;
public static string HashPassword(string password)
{
// http://stackoverflow.com/questions/19957176/asp-net-identity-password-hashing
byte[] salt;
byte[] buffer2;
if (password == null)
{
throw new ArgumentNullException("password");
}
using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, SaltByteSize, HasingIterationsCount))
{
salt = bytes.Salt;
buffer2 = bytes.GetBytes(HashByteSize);
}
byte[] dst = new byte[(SaltByteSize + HashByteSize) + 1];
Buffer.BlockCopy(salt, 0, dst, 1, SaltByteSize);
Buffer.BlockCopy(buffer2, 0, dst, SaltByteSize + 1, HashByteSize);
return Convert.ToBase64String(dst);
}
public static bool VerifyHashedPassword(string hashedPassword, string password)
{
byte[] _passwordHashBytes;
int _arrayLen = (SaltByteSize + HashByteSize) + 1;
if (hashedPassword == null)
{
return false;
}
if (password == null)
{
throw new ArgumentNullException("password");
}
byte[] src = Convert.FromBase64String(hashedPassword);
if ((src.Length != _arrayLen) || (src[0] != 0))
{
return false;
}
byte[] _currentSaltBytes = new byte[SaltByteSize];
Buffer.BlockCopy(src, 1, _currentSaltBytes, 0, SaltByteSize);
byte[] _currentHashBytes = new byte[HashByteSize];
Buffer.BlockCopy(src, SaltByteSize + 1, _currentHashBytes, 0, HashByteSize);
using (Rfc2898DeriveBytes bytes = new Rfc2898DeriveBytes(password, _currentSaltBytes, HasingIterationsCount))
{
_passwordHashBytes = bytes.GetBytes(SaltByteSize);
}
return AreHashesEqual(_currentHashBytes, _passwordHashBytes);
}
private static bool AreHashesEqual(byte[] firstHash, byte[] secondHash)
{
int _minHashLength = firstHash.Length <= secondHash.Length ? firstHash.Length : secondHash.Length;
var xor = firstHash.Length ^ secondHash.Length;
for (int i = 0; i < _minHashLength; i++)
xor |= firstHash[i] ^ secondHash[i];
return 0 == xor;
}
カスタムApplicationUserManagerで、PasswordHasherプロパティに上記のコードを含むクラスの名前を設定します。