PHP 和 C# MD5 crypt 没有给出相同的输出?
PHP and C# MD5 crypt does not give the same output?
这是人们在我的网站上注册时我所拥有的加密:
$salt = generateSalt();
$hashedPassword = crypt($userPass, $salt);
这是我的 generateSalt 函数:
function generateSalt() {
$salt = uniqid(mt_rand(), true);
$salt = '$' . $salt;
return $salt;
}
当我用这个加密密码时,我得到例如:
999442$AK4yZPjnj6BKc9yj4CXKu1
但是当我用这个函数在 C# 上加密相同的密码时:
hashedPassword = GenerateMD5(uName, salt);
生成MD5函数:
public String GenerateMD5(String input, String salt)
{
Byte[] bytes = System.Text.Encoding.UTF8.GetBytes(input + salt);
System.Security.Cryptography.MD5Cng md5hashstring = new System.Security.Cryptography.MD5Cng();
byte[] hash = md5hashstring.ComputeHash(bytes);
string hex = BitConverter.ToString(hash).Replace("-", string.Empty);
return hex;
}
我得到了完全不同的输出。使用相同的密码和相同的盐,我得到这个输出:
9DE11D48C3F7DF1BF89FC76D755A2596
我应该在 PHP 和 C# 中使用什么函数来获得相同的输出?
在您的输入中添加随机盐是其中的一部分问题。您每次都会得到不同的输入,因此会有不同的哈希输出。
如果我是你,我会考虑改用 password_hash。所有这些 crypt 是否在一个漂亮、整洁的包装中为您工作,并配有随机盐。
至于为什么您的函数不匹配,您在 C# 代码中使用了 MD5。我不是 C# 方面的专家,但您应该使用某种 bcrypt 哈希系统。有一个 open source bcrypt for C# 可能会为您解决问题。理论上,由于它们使用相同的系统,一个应该能够验证另一个,因为它们都将盐存储在字符串中。只需从字符串中取出盐并将密码和盐插入另一个,它们应该匹配。
因为您使用的是两种完全不同的算法。在 PHP 中,您使用的是使用 DES 的 crypt(),而在 C# 中,您使用的是 MD5。他们永远不会产生相同的输出。如果你想要相同的输出,你应该在 PHP 中使用 md5() 而不是 crypt()
此外,请勿使用 MD5,它已被弃用。您现在应该至少使用 SHA-2
这就是所谓的md5crypt by Poul-Henning Kamp, not to be confused with MD5. Md5crypt for first used to protect FreeBSD passwords from bruteforce, but then became more widespread. It was incorporated into GNU libc crypt() and many programs had interfaces to this system call, including PHP, and some PHP developers made use of it. Md5crypt invokes MD5 no less than 1000 times to make brute-force harder (but nowadays md5crypt is considered outdated by its author!). I have seen implementation of md5crypt for many programming languages, this one is for C#.
这是人们在我的网站上注册时我所拥有的加密:
$salt = generateSalt();
$hashedPassword = crypt($userPass, $salt);
这是我的 generateSalt 函数:
function generateSalt() {
$salt = uniqid(mt_rand(), true);
$salt = '$' . $salt;
return $salt;
}
当我用这个加密密码时,我得到例如:
999442$AK4yZPjnj6BKc9yj4CXKu1
但是当我用这个函数在 C# 上加密相同的密码时:
hashedPassword = GenerateMD5(uName, salt);
生成MD5函数:
public String GenerateMD5(String input, String salt)
{
Byte[] bytes = System.Text.Encoding.UTF8.GetBytes(input + salt);
System.Security.Cryptography.MD5Cng md5hashstring = new System.Security.Cryptography.MD5Cng();
byte[] hash = md5hashstring.ComputeHash(bytes);
string hex = BitConverter.ToString(hash).Replace("-", string.Empty);
return hex;
}
我得到了完全不同的输出。使用相同的密码和相同的盐,我得到这个输出:
9DE11D48C3F7DF1BF89FC76D755A2596
我应该在 PHP 和 C# 中使用什么函数来获得相同的输出?
在您的输入中添加随机盐是其中的一部分问题。您每次都会得到不同的输入,因此会有不同的哈希输出。
如果我是你,我会考虑改用 password_hash。所有这些 crypt 是否在一个漂亮、整洁的包装中为您工作,并配有随机盐。
至于为什么您的函数不匹配,您在 C# 代码中使用了 MD5。我不是 C# 方面的专家,但您应该使用某种 bcrypt 哈希系统。有一个 open source bcrypt for C# 可能会为您解决问题。理论上,由于它们使用相同的系统,一个应该能够验证另一个,因为它们都将盐存储在字符串中。只需从字符串中取出盐并将密码和盐插入另一个,它们应该匹配。
因为您使用的是两种完全不同的算法。在 PHP 中,您使用的是使用 DES 的 crypt(),而在 C# 中,您使用的是 MD5。他们永远不会产生相同的输出。如果你想要相同的输出,你应该在 PHP 中使用 md5() 而不是 crypt()
此外,请勿使用 MD5,它已被弃用。您现在应该至少使用 SHA-2
这就是所谓的md5crypt by Poul-Henning Kamp, not to be confused with MD5. Md5crypt for first used to protect FreeBSD passwords from bruteforce, but then became more widespread. It was incorporated into GNU libc crypt() and many programs had interfaces to this system call, including PHP, and some PHP developers made use of it. Md5crypt invokes MD5 no less than 1000 times to make brute-force harder (but nowadays md5crypt is considered outdated by its author!). I have seen implementation of md5crypt for many programming languages, this one is for C#.