比较数据库中的加密密码和使用加密的用户输入

Question

如何比较我从用户输入插入到数据库中的加密密码？我注意到在测试我的程序时，我创建了一个帐号，它们都具有相同的密码，但它们具有不同的加密，我怎么知道用户输入是否与数据库中的输入相同？ Encrypto是这样做的吗？或Encrypto有一个独特的方式来确定哪个是哪个？

我是否在此代码中使用了Encrypto？

var hasher = new Hasher(); 

hasher.SaltSize = 16; 

//Encrypts The password 
var encryptedPassword = hasher.Encrypt(txtPass.Text); 

Account newUser = new Account(); 

System.Text.UTF8Encoding encoding=new System.Text.UTF8Encoding(); 

newUser.accnt_User = txtUser.Text; 
newUser.accnt_Position = txtPosition.Text; 
newUser.accnt_Pass = new System.Data.Linq.Binary(encoding.GetBytes(encryptedPassword)); 

Answer 1

两个相同的密码会导致不同的散列，因为Encrypto在散列它之前将一个随机盐附加到密码的末尾。

在codeplex上检查出source code for Hasher.cs看他们是如何做到这一点的。他们基本上使用salt来完成散列，然后将salt附加到散列的末尾。这是你在数据库中存储的内容。

当用户设置自己的密码或新用户注册，你散列密码，并将其存储在数据库中

var hasher = new Hasher(); 
hasher.SaltSize = 16; 
var hashedPasswordToStoreInDB = hasher.Encrypt(passwordToSet); 

后，当他们登录并输入自己的密码，您比较密码，用户类型先前凑版本从数据库中检索这样

var hasher = new Hasher(); 
hasher.SaltSize = 16; 
bool areEqual = hasher.CompareStringToHash(enteredPassword, hashFromDatabase); 

同样，如果你look at the source code（Hasher.CompareStringToHash），你会看到随机盐是从存储的哈希回收，然后用于计算从一个新的哈希输入密码。

Answer 2

我不知道Encrypto特别，但总的原则是这样的：你的“盐”的口令，然后加密，并将其存储到数据库中。当有人登录时，您重做相同的事情：盐，加密，然后，与存储在数据库中的其他哈希进行比较。

为什么两个相同的密码可能产生不同的哈希是盐;你在加密密码之前改变密码，以便查看哈希值只会让你很难确定你的哈希机制。 salt可以始终是相同的（安全性较差），用户名的功能或者随同加密密码一起存储在数据库中的另一个随机字符串的功能。

同样，我不知道Encrypto，但只是使用与用户输入密码进行比较时用于在数据库中生成哈希的相同逻辑。