Comment puis-je hacher un mot de passe et le stocker pour une vérification ultérieure avec un autre résumé?

Question

J'utilise le plugin wsseapi de gsoap et j'aimerais stocker les mots de passe sha1 hachés plutôt que du texte brut. J'ai passé une quantité ridicule de temps à expérimenter avec différentes méthodes de hachage du mot de passe en texte brut pour le stockage.

Quelqu'un peut-il suggérer un moyen de hacher un mot de passe afin qu'il puisse être vérifié plus tard par rapport à un résumé de jeton de nom d'utilisateur envoyé par le client?

Je n'arrive pas à obtenir le mot de passe du client pour m'authentifier par rapport à ma table de hachage stockée.

Answer 1

Il semble que le mot de passe en texte clair soit requis des deux côtés. C'est ainsi que sur le serveur, le mot de passe stocké est haché en utilisant le nonce créé du côté client, puis les hachages de mot de passe sont comparés.

Je pensais qu'il y avait un moyen pour le client d'entrer un mot de passe alphanumérique normal et que le serveur récupérait une version préenregistrée du même mot de passe pour la comparaison. Cela semble impossible à cause du nonce, de l'horodatage, etc

Answer 2

Ne roulez pas votre propre crypto; utiliser un schéma bien connu et accepté par la communauté, tel que PBES2 (tel que spécifié par PKCS#5 v2.1). Si vous avez de la chance, vous trouverez une implémentation prête à l'emploi (indice: OpenSSL probablement).

Answer 3

ne pas stocker les mots de passe en texte clair est bon. choisir un hachage qui a été développé pour être calculé très rapidement est .. pas si intelligent. En savoir plus sur "key-derivation" au http://www.tarsnap.com/scrypt.html. fondamentalement, il ralentit "calcul du mot de passe haché" A LOT, de sorte qu'un attaquant est ralenti dans ses tentatives d'utiliser la force brute.