asp.net – bcrypt / Bcrypt.net实力和替代品

我没有看到你不应该使用bcrypt的任何好理由.通常,在服务器上使用bcrypt,PBKDF2或scrypt来提供良好的安全层.

一如既往,魔鬼在细节中.您当然需要SSL,如果可能的话,使用AES加密的TLS 1.2.如果您不能这样做,请确保您在连接中不允许使用必要的用户名/密码HTML.

您应该对密码的字符编码做出决定.我会建议UTF-8,可能缩小到可打印的ASCII字符.要么记录使用的字符编码,要么将其存储在配置中的某个位置.

尝试将所有输入参数与“哈希”密码一起存储到bcrypt.当然不要忘记迭代计数.当用户稍后输入他/她的密码时,这使得更容易升级到更高的迭代次数.您需要生成一个8-16字节的安全随机盐来存储密码.

此外,您可能希望将额外的KBKDF(基于密钥的密钥派生方案)应用于上述任何PBKDF的输出.这使得可以将bcyrpt的输出用于附加键等.KBKDF对具有足够熵的数据进行处理,因此通常它们花费很少时间(例如,使用NIST SP 800-108兼容计数器模式KDF).我想这应该被认为是“专家模式”.