Как хранить хешированные пароли в БД?

Question

[Senture]

Есть код на C# для хеширования паролей:

// Генератор соли
 private int GenerateSaltForPassword()
    {
        RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
        byte[] saltBytes = new byte[4];
        rng.GetNonZeroBytes(saltBytes);
        return (((int)saltBytes[0]) << 24) + (((int)saltBytes[1]) << 16) + (((int)saltBytes[2]) << 8) + ((int)saltBytes[3]);
    }

// хеширование
    private byte[] ComputePasswordHash(string password, int salt)
    {
        byte[] saltBytes = new byte[4];
        saltBytes[0] = (byte)(salt >> 24);
        saltBytes[1] = (byte)(salt >> 16);
        saltBytes[2] = (byte)(salt >> 8);
        saltBytes[3] = (byte)(salt);

        byte[] passwordBytes = UTF8Encoding.UTF8.GetBytes(password);

        byte[] preHashed = new byte[saltBytes.Length + passwordBytes.Length];
        System.Buffer.BlockCopy(passwordBytes, 0, preHashed, 0, passwordBytes.Length);
        System.Buffer.BlockCopy(saltBytes, 0, preHashed, passwordBytes.Length, saltBytes.Length);

        SHA1 sha1 = SHA1.Create();
        return sha1.ComputeHash(preHashed);
    }

// проверка хешированного пароля и введенного для авторизации
    private bool IsPasswordValid(string passwordToValidate, int salt, byte[] correctPasswordHash)
    {
        byte[] hashedPassword = ComputePasswordHash(passwordToValidate, salt);

        return hashedPassword.SequenceEqual(correctPasswordHash);
    }

А вопрос заключается в том чтобы проверить совпадают ли пароли нужно знать соль захешированного пароля, как хранить пароль в бд? Таким видом: поле для пароля, поле для соли? Я думал что можно хранить пароль и соль в одном поле, но а как потом получить соль при авторизации?? P.S. Извините возможно за тупой вопрос.

Comments

[freeExec]

ИМХО соль в 4 байта маловата.

[Senture]

freeExec, а сколько посоветуете байт? И как переделать код под n байт(это необязательно)?

[freeExec]

Senture, Ну добавьте ещё один int, 8 байт + 8 символов от пользователя уже не плохо.

[Senture]

freeExec, а как добавить в хешь пароля несколько солей?

[freeExec]

Senture, Соль одна, но длиньше.

[Senture]

freeExec, я не пойму, как это сделать? извините.

[tex0]

Senture, можно сделать так: определите соль как ID-шник юзера(он вроде бы как long - 8 байт), он для всех строк в таблице уникален. Так вы избавитесь от лишнего поля salt в объекте, правда это не совсем корректно в том смысле что для создание нового юзера придется делать сразу две операции - создание и обновление объекта в базе(ибо ID вы получите лишь сохранив новый объект в БД). Решайте сами что для вас вернее будет.

[Senture]

tex0, спасибо.

Answer 1

[Pavel Karinin]

Пароль вообще не стоит хранить нигде ни на сервере ни в БД, а в простейшем случае вы должны хранить лишь Salt и Hash-сумму пароля.

Comments

[freeExec]

Но автор так и делает же, хранит хеш и соль.

[Senture]

а хэш сумму и соль хранить в одном поле или в разных, и если в одном, то как потом их разделить?

[Pavel Karinin]

Senture, Храните в разных полях, полагаю это удобнее для использования в функциях верификации пароля.

[Senture]

Спасибо, буду пробовать.