详解对密码执行散列和 salt 运算方法

Credentials.cs

using System;
using System.IO;
using System.Text;
using System.Security.Cryptography;
 
namespace BookStore.Common
{
       /// <summary
       /// Credentials 的摘要说明。
       /// 原理：
       /// 对密码执行散列运算
       /// 若要避免以明文形式存储密码，一种常见的安全做法是对密码执行散列运算。如以下代码所示，使用 System.Security.Cryptography 命名空间（它实现 160 位 SHA-1 标准）对密码进行散列运算。有关更多信息，请参见 SHA1 成员。
       /// 对散列执行 Salt 运算
       /// 虽然对密码执行散列运算的一个好的开端，但若要增加免受潜在攻击的安全性，则可以对密码散列执行 Salt 运算。Salt 就是在已执行散列运算的密码中插入的一个随机数字。这一策略有助于阻止潜在的攻击者利用预先计算的字典攻击。字典攻击是攻击者使用密钥的所有可能组合来破解密码的攻击。当您使用 Salt 值使散列运算进一步随机化后，攻击者将需要为每个 Salt 值创建一个字典，这将使攻击变得非常复杂且成本极高。
       /// Salt 值随散列存储在一起，并且未经过加密。所存储的 Salt 值可以在随后用于密码验证。
       /// </summary
       public class Credentials
       {
              private static string key = "!48%0d-F=cj,s&2";  //密钥（增加密码复杂度，好像比较多余）
              private const int saltLength = 4;                         //定义salt值的长度
 
              /// <summary
              /// 对密码进行Hash 和 Salt
              /// </summary
              /// <param name="Password"用户输入的密码</param
              /// <returns</returns
              public static byte[] HashAndSalt(string Password)
              {
                     return CreateDbPassword(HashPassword(Password));
              }
 
              /// <summary
              /// 对用户输入的密码加上密钥key后进行SHA1散列
              /// </summary
              /// <param name="Password"用户输入的密码</param
              /// <returns返回 160 位 SHA-1 散列后的的byte[]（160位对应20个字节）</returns