Berechnen von Hashes für Kennwörter in ASP.NET Core

Dieser Artikel zeigt, wie Sie die KeyDerivation.Pbkdf2-Methode aufrufen, die es ermöglicht, mithilfe des PBKDF2-Algorithmus einen Hash für ein Kennwort zu berechnen.

Warnung

Die KeyDerivation.Pbkdf2-API ist ein einfaches kryptografisches Primitiv und dient dazu, Apps in ein vorhandenes Protokoll- oder Kryptografiesystem zu integrieren. KeyDerivation.Pbkdf2 sollte in neuen Apps, die eine kennwortbasierte Anmeldung unterstützen und hashbasierte Kennwörter in einem Datenspeicher speichern müssen, nicht verwendet werden. Neue Apps sollten PasswordHasher verwenden. Weitere Informationen zu PasswordHasher finden Sie unter Exploring the ASP.NET Core Identity PasswordHasher (Erkunden von ASP.NET Core Identity PasswordHasher).

Die Codebasis für den Datenschutz enthält das NuGet-Paket Microsoft.AspNetCore.Cryptography.KeyDerivation, das wiederum Funktionen zum Ableiten von Kryptografieschlüsseln enthält. Dieses Paket ist eine eigenständige Komponente und weist keine Abhängigkeiten vom Rest des Datenschutzsystems auf. Es kann unabhängig verwendet werden. Die Quelle wurde aus Gründen der Benutzerfreundlichkeit zusätzlich zur Codebasis für den Datenschutz integriert.

Warnung

Der folgende Code zeigt die Verwendung von KeyDerivation.Pbkdf2 zum Generieren eines gemeinsam genutzten geheimen Schlüssels. Er sollte nicht zum Berechnen eines Hashs für ein Kennwort verwendet werden, das in einem Datenspeicher gespeichert wird.

using Microsoft.AspNetCore.Cryptography.KeyDerivation;
using System.Security.Cryptography;

Console.Write("Enter a password: ");
string? password = Console.ReadLine();

// Generate a 128-bit salt using a sequence of
// cryptographically strong random bytes.
byte[] salt = RandomNumberGenerator.GetBytes(128 / 8); // divide by 8 to convert bits to bytes
Console.WriteLine($"Salt: {Convert.ToBase64String(salt)}");

// derive a 256-bit subkey (use HMACSHA256 with 100,000 iterations)
string hashed = Convert.ToBase64String(KeyDerivation.Pbkdf2(
    password: password!,
    salt: salt,
    prf: KeyDerivationPrf.HMACSHA256,
    iterationCount: 100000,
    numBytesRequested: 256 / 8));

Console.WriteLine($"Hashed: {hashed}");

/*
 * SAMPLE OUTPUT
 *
 * Enter a password: Xtw9NMgx
 * Salt: CGYzqeN4plZekNC88Umm1Q==
 * Hashed: Gt9Yc4AiIvmsC1QQbe2RZsCIqvoYlst2xbz0Fs8aHnw=
 */

Einen Anwendungsfall aus der Praxis finden Sie im Quellcode für den PasswordHasher-Typ von ASP.NET Core Identity.

Hinweis

Dokumentationslinks zur .NET-Referenzquelle laden in der Regel den Standardbranch des Repositorys, der die aktuelle Entwicklung für das nächste Release von .NET darstellt. Um ein Tag für ein bestimmtes Release auszuwählen, wählen Sie diesen mit der Dropdownliste Switch branches or tags (Branches oder Tags wechseln) aus. Weitere Informationen finden Sie unter How to select a version tag of ASP.NET Core source code (dotnet/AspNetCore.Docs #26205) (Auswählen eines Versionstags von ASP.NET Core-Quellcode (dotnet/AspNetCore.Docs #26205)).