将ASP.NET成员密码从加密转换为哈希

Question

我开发了一个使用ASP.NET成员资格的网站。根据以前网站的评论，我决定加密密码，以便忘记密码的用户可以恢复密码。

但是，新的网站（现在有500多个注册用户）给我带来了一些批评，认为行业标准确实是哈希密码。

但是，经过相当广泛的搜索后，我一直无法找到有关如何将现有用户的密码从加密转换为散列的任何内容。

我知道我可以更改web.config文件，并且新用户的密码将使用新格式。但它无法更新现有用户。

注意：我以前提过类似的问题，但大多只是争论哪个更好，加密或散列。我已经过了那次讨论，但我一直无法找到一种方法来转换它们，而不会丢失已经注册的数百个用户。

Answer 1

恕我直言，格雷格对你以前的问题（Changing passwordFormat from Encrypted to Hashed）的回应（和相关评论）是要走的路。从本质上讲，你想：

1. 添加散列成员提供
2. 遍历所有的加密密码的用户，
3. 对于每一个解密密码，创建哈希，存储，删除来自数据库的加密版本，然后继续。

完成后，所有加密的密码用户应转换为散列。

Answer 2

也许我在这里错过了一些东西，但它应该很简单。创建一个进程来解密密码，然后相应地加盐，并将salt +用户的解密密码的哈希存储在数据库中。显然你不想散列用户的加密密码。不要忘记储存盐。

Answer 3

看来您已经知道如何解密密码并更改web.config文件，但您仍然坚持如何实施其余的过程。

使用ILSpy，这里是如何生成每个用户的盐：

byte[] array = new byte[16]; 
new RNGCryptoServiceProvider().GetBytes(array); 
return Convert.ToBase64String(array);  

一旦你有盐，这里是如何生成的密码：

byte[] bytes = Encoding.Unicode.GetBytes(pass); 
byte[] array = Convert.FromBase64String(salt); 
byte[] array2 = new byte[array.Length + bytes.Length]; 
Buffer.BlockCopy(array, 0, array2, 0, array.Length); 
Buffer.BlockCopy(bytes, 0, array2, array.Length, bytes.Length); 
using (SHA1CryptoServiceProvider sha1 = new SHA1CryptoServiceProvider()) { 
    return Convert.ToBase64String(sha1.ComputeHash(array2)); 
} 

其中pass是平纹文本密码你计算，而salt是在上面第一个代码片段中计算的字符串。 default algorithm is SHA1，如果你想知道为什么它被使用。

，因为这是一个一次性的过程，我会写一个HTTP处理程序执行期间很短，计划的维护期间手动更新数据库 - 希望你有这样的奢侈。 （显然先进行备份和测试）。您需要更新的aspnet_Membership表中的以下字段：

1. Password - 1
2. PasswordSalt - - 上述
3. PasswordFormat计算上述

计算从来没有做过这样的事，但希望这会让你开始:)