ASP.Net Core 2.0: Alternative PasswordHasher
Guten Tag zusammen,
habe mich die letzten Tage mal mit dem PasswordHasher (vor allem im Zusammenhang mit IdentityServer) befasst. In der aktuellen Version von Asp.Net Core Identity 3 wird PBKDF2 (HMAC-SHA256, 128-bit Salt, 256-bit SubKey, 10000 Iterationen) verwendet.
Da ich vor allem ein Fan von Bcrypt bin habe ich ein bisschen recherchiert und bin auf folgenden Artikel gestoßen:
Improving the ASP.NET Core Identity Password Hasher
Dort sind einige nuget-Pakete für diverse IPasswordHasher-Implementierungen basierend auf verschiedenen Bibliotheken vorhanden. Dachte vielleicht besteht ja bei einigen Interesse daran.
Welche PasswordHasher verwendet ihr bzw. wie implementiert ihr diese?
Beste Grüße
emuuu
2+2=5( (für extrem große Werte von 2)
Nutzen wir zB gar nicht, weil die Zukunft der Hasher unklar ist.
Wenn ein Hasher nicht mehr gepflegt wird, dann hätten wir langfristig evtl. ein riesiges Problem.
Wenn das ganze nicht nur von Scott sondern vom ganzen Identity Team betreut wird, und damit auch der .NET Foundation unterliegt, wäre das jedoch eine Option.
Selber pflegen (für uns) jedoch nicht.
- performance is a feature -
Microsoft MVP - @Website - @AzureStuttgart - github.com/BenjaminAbt - Sustainable Code
Wir nutzen auch
var pbkdf2 = new Rfc2898DeriveBytes(password, salt, HashInterations);
return pbkdf2.GetBytes(OutputBytes);
.
aus System.Security.Cryptography
Weil es mal von NIST als Empfehlung gesetzt wurde. Ebenfalls mit 10.000 Iterationen.
Ob der BSI auch solche Angaben macht, weiß ich grad nicht.