Подтвердить что ты не робот

Создание надежного пароля в С#?

Мне было интересно, как я могу создать надежный и безопасный пароль на С#.

Я немного искал Google и видел эту формулу в Википедии, где L - длина пароля, а N - количество возможных символов:

alt text

Кроме того, я нашел этот вопрос, но по какой-то причине метод Membership.GeneratePassword просто возвращает случайное число с 1 цифрой, в которой абсолютно нет пароля. Все остальные решения были очень медленными ( > 0,5 с).

Мне нужна помощь в реализации этой формулы (я не знаю, с чего начать). Вы также можете предложить другое решение или объяснить, почему GeneratePassword не работает.

4b9b3361

ОТВЕТЫ

Ответ 1

Я просто попробовал следующее в linqpad:

System.Web.Security.Membership.GeneratePassword(25, 10)

Это пароль, который я получил:

[XTJ_67g.i/ag1rL)6_Yv>*+%

Или, если это недостаточно безопасно, попробуйте следующее:

System.Web.Security.Membership.GeneratePassword(128, 100)

который получил меня при запуске три раза:

|c^.:?m)#q+(]V;}[Z(})/?-;$][email protected]!|^/8*_9.$&.&!(?=^!Wx?[@%+&[email protected];)>N;&+*w[>$2+_$%l;+h+#zhs^{e?&=*(}X_%|:}]]}*X[+)Er%J/-=;Q0{:+=%c7:^$

/:_)hxF+*){2|;(>:*N^+!_&|}B.$})?[V=[+v({-:[email protected]$j?.[-}(@MHx+}(}Mz_S(7#4}{..>@G|!+++{+C=|_}=+r^@&$0;L*|kz-;$++/N3$=}?;%&]]*/^#^!+

:*{]-x^$g{|?*))[email protected]^.#%L;g|+)#[nq}?y(_(m;]S^I$*q=l-[_/?}&-!k^(+[_{Z|&:^%!_)!=p%=)=wYd-#.UP$%s1{*l%+[%[email protected]=.;{+M)!^}&d/]{];(&}

это заняло менее секунды, кстати. Структура - ваш друг.

См. http://msdn.microsoft.com/en-us/library/system.web.security.membership.generatepassword.aspx

Ответ 2

Чтобы ответить на вопрос о этой формуле:

Формула говорит, что пароль длины L, взятый из алфавита из N символов, эквивалентен паролю длиной H, взятым из алфавита из двух символов. Итак, если у вас есть, скажем, 64 символа (скажем, abc... xyzABC... XYZ01... 89_!), А пароль длиной 10 символов, то это дает вам эквивалентную безопасность паролю 10 log2 64 = 60 символов длиной взятый из алфавита "ab".

A "log" - это обратная операция возведения в степень. От двух до шестой власти дают вам шестьдесят четыре, поэтому "log two" из шестидесяти четырех дает вам шесть.

Ответ 3

Не знаю, где я нашел это, но здесь класс для генерации высоких энтропий, действительно случайных строк, которые могут использоваться в качестве паролей.

using System.Security.Cryptography;
using System;
using System.Collections;
using System.Collections.Generic;
using System.Linq;

public class PasswordGenerator
{
    public int MinimumLengthPassword { get; private set; }
    public int MaximumLengthPassword { get; private set; }
    public int MinimumLowerCaseChars { get; private set; }
    public int MinimumUpperCaseChars { get; private set; }
    public int MinimumNumericChars { get; private set; }
    public int MinimumSpecialChars { get; private set; }

    public static string AllLowerCaseChars { get; private set; }
    public static string AllUpperCaseChars { get; private set; }
    public static string AllNumericChars { get; private set; }
    public static string AllSpecialChars { get; private set; }
    private readonly string _allAvailableChars;

    private readonly RandomSecureVersion _randomSecure = new RandomSecureVersion();
    private int _minimumNumberOfChars;

    static PasswordGenerator()
    {
        // Define characters that are valid and reject ambiguous characters such as ilo, IO and 1 or 0
        AllLowerCaseChars = GetCharRange('a', 'z', exclusiveChars: "ilo");
        AllUpperCaseChars = GetCharRange('A', 'Z', exclusiveChars: "IO");
        AllNumericChars = GetCharRange('2', '9');
        AllSpecialChars = "[email protected]#%*()$?+-=";

    }

    public PasswordGenerator(
        int minimumLengthPassword = 15,
        int maximumLengthPassword = 20,
        int minimumLowerCaseChars = 2,
        int minimumUpperCaseChars = 2,
        int minimumNumericChars = 2,
        int minimumSpecialChars = 2)
    {
        if (minimumLengthPassword < 15)
        {
            throw new ArgumentException("The minimumlength is smaller than 15.",
                "minimumLengthPassword");
        }

        if (minimumLengthPassword > maximumLengthPassword)
        {
            throw new ArgumentException("The minimumLength is bigger than the maximum length.",
                "minimumLengthPassword");
        }

        if (minimumLowerCaseChars < 2)
        {
            throw new ArgumentException("The minimumLowerCase is smaller than 2.",
                "minimumLowerCaseChars");
        }

        if (minimumUpperCaseChars < 2)
        {
            throw new ArgumentException("The minimumUpperCase is smaller than 2.",
                "minimumUpperCaseChars");
        }

        if (minimumNumericChars < 2)
        {
            throw new ArgumentException("The minimumNumeric is smaller than 2.",
                "minimumNumericChars");
        }

        if (minimumSpecialChars < 2)
        {
            throw new ArgumentException("The minimumSpecial is smaller than 2.",
                "minimumSpecialChars");
        }

        _minimumNumberOfChars = minimumLowerCaseChars + minimumUpperCaseChars +
                                minimumNumericChars + minimumSpecialChars;

        if (minimumLengthPassword < _minimumNumberOfChars)
        {
            throw new ArgumentException(
                "The minimum length of the password is smaller than the sum " +
                "of the minimum characters of all catagories.",
                "maximumLengthPassword");
        }

        MinimumLengthPassword = minimumLengthPassword;
        MaximumLengthPassword = maximumLengthPassword;

        MinimumLowerCaseChars = minimumLowerCaseChars;
        MinimumUpperCaseChars = minimumUpperCaseChars;
        MinimumNumericChars = minimumNumericChars;
        MinimumSpecialChars = minimumSpecialChars;

        _allAvailableChars =
            OnlyIfOneCharIsRequired(minimumLowerCaseChars, AllLowerCaseChars) +
            OnlyIfOneCharIsRequired(minimumUpperCaseChars, AllUpperCaseChars) +
            OnlyIfOneCharIsRequired(minimumNumericChars, AllNumericChars) +
            OnlyIfOneCharIsRequired(minimumSpecialChars, AllSpecialChars);
    }

    private string OnlyIfOneCharIsRequired(int minimum, string allChars)
    {
        return minimum > 0 || _minimumNumberOfChars == 0 ? allChars : string.Empty;
    }

    public string Generate()
    {
        var lengthOfPassword = _randomSecure.Next(MinimumLengthPassword, MaximumLengthPassword);

        // Get the required number of characters of each catagory and 
        // add random charactes of all catagories
        var minimumChars = GetRandomString(AllLowerCaseChars, MinimumLowerCaseChars) +
                        GetRandomString(AllUpperCaseChars, MinimumUpperCaseChars) +
                        GetRandomString(AllNumericChars, MinimumNumericChars) +
                        GetRandomString(AllSpecialChars, MinimumSpecialChars);
        var rest = GetRandomString(_allAvailableChars, lengthOfPassword - minimumChars.Length);
        var unshuffeledResult = minimumChars + rest;

        // Shuffle the result so the order of the characters are unpredictable
        var result = unshuffeledResult.ShuffleTextSecure();
        return result;
    }

    private string GetRandomString(string possibleChars, int lenght)
    {
        var result = string.Empty;
        for (var position = 0; position < lenght; position++)
        {
            var index = _randomSecure.Next(possibleChars.Length);
            result += possibleChars[index];
        }
        return result;
    }

    private static string GetCharRange(char minimum, char maximum, string exclusiveChars = "")
    {
        var result = string.Empty;
        for (char value = minimum; value <= maximum; value++)
        {
            result += value;
        }
        if (!string.IsNullOrEmpty(exclusiveChars))
        {
            var inclusiveChars = result.Except(exclusiveChars).ToArray();
            result = new string(inclusiveChars);
        }
        return result;
    }
}

internal static class Extensions
{
    private static readonly Lazy<RandomSecureVersion> RandomSecure =
        new Lazy<RandomSecureVersion>(() => new RandomSecureVersion());
    public static IEnumerable<T> ShuffleSecure<T>(this IEnumerable<T> source)
    {
        var sourceArray = source.ToArray();
        for (int counter = 0; counter < sourceArray.Length; counter++)
        {
            int randomIndex = RandomSecure.Value.Next(counter, sourceArray.Length);
            yield return sourceArray[randomIndex];

            sourceArray[randomIndex] = sourceArray[counter];
        }
    }

    public static string ShuffleTextSecure(this string source)
    {
        var shuffeldChars = source.ShuffleSecure().ToArray();
        return new string(shuffeldChars);
    }
}

internal class RandomSecureVersion
{
    //Never ever ever never use Random() in the generation of anything that requires true security/randomness
    //and high entropy or I will hunt you down with a pitchfork!! Only RNGCryptoServiceProvider() is safe.
    private readonly RNGCryptoServiceProvider _rngProvider = new RNGCryptoServiceProvider();

    public int Next()
    {
        var randomBuffer = new byte[4];
        _rngProvider.GetBytes(randomBuffer);
        var result = BitConverter.ToInt32(randomBuffer, 0);
        return result;
    }

    public int Next(int maximumValue)
    {
        // Do not use Next() % maximumValue because the distribution is not OK
        return Next(0, maximumValue);
    }

    public int Next(int minimumValue, int maximumValue)
    {
        var seed = Next();

        //  Generate uniformly distributed random integers within a given range.
        return new Random(seed).Next(minimumValue, maximumValue);
    }
}

Потребляйте в своем коде:

var generator = new PasswordGenerator();
string password = generator.Generate();
Console.WriteLine(password);

Ответ 4

Я не знаю, поможет ли это вам, но это то, что я использую, когда хочу генерировать случайный пароль, который также является сильным. Это быстро и просто реализовать/понять и не столько перебор, сколько тот, через поставщика членства выше...

    private string Token(byte Length) {
        char[] Chars = new char[] {
            'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z',
            'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z',
            '0', '1', '2', '3', '4', '5', '6', '7', '8', '9'
        };
        string String = string.Empty;
        Random Random = new Random();

        for (byte a = 0; a < Length; a++) {
            String += Chars[Random.Next(0, 61)];
        };

        return (String);
    }

Ответ 6

Как насчет Guid.NewGuid().ToString();?

Ответ 7

Почему бы просто не заполнить массив некоторыми символами и выбрать случайное число из них. Вы можете разделить их по группам, чтобы быть уверенными, что они включают буквы и специальные символы.

Вам также нужно будет подобрать нужную длину и сколько каждой группы символов включить и что она. Я не думаю, что вам нужны сложные формулы.

Ответ 8

Для систем, которые не позволяют паролям, генерируемым пользователем, очень просто: на самом деле любой пароль такой же надежный, как он долго. Не считая, конечно, людей, которые приклеивают пост-его к мониторам и т.д.

Вероятно, вы хотите максимизировать набор символов, из которых генерируется пароль. Но ограничение сгенерированных паролей значительно сокращает пространство поиска и, следовательно, делает пароль менее безопасным. Опять же, это выполняется только в том случае, если пользователь не может выбрать свой собственный пароль.

Если вы имеете дело с генерируемыми и создаваемыми пользователем паролями, то все ставки, очевидно, выключены. Затем вы, вероятно, захотите сгенерировать пароли таким образом, чтобы он использовал как можно больше символов из разных классов, наподобие сильного пользовательского пароля. В идеале он должен соответствовать тем же ограничениям, что и пароль пользователя, который должен был пройти (если есть).

Ответ 9

Я бы использовал Guid самостоятельно:) и сделаю, чтобы пользователь редактировал пароль после входа в систему