BCrypt.Net库中无效的salt版本错误-使用MySQL DB的WinForms/C#应用程序

Question

我目前正在制作一个密码管理器，因此我用用户名和密码字段制作了一个登录表单。我想要bcrypt密码。我将salt和哈希密码存储在数据库(截图1)中。当用户输入他们的用户名和密码时，我所做的是：

1.从DB检索salt，并使用BCrypt.Net.BCrypt.HashPassword(password.Text, sal)方法将提交的密码与数据库中的salt进行散列

2.从db表中检索原始的哈希密码，然后使用BCrypt.Net.BCrypt.Verify(submhash, passdb)方法检查两个密码哈希是否匹配。

3.如果它们匹配，我就打开程序的主要形式。

然而，version抛出一个异常：无效的salt版本( 截图2)

我想问一下，问题在哪里，我如何解决？

            conn.Open();
            MySqlCommand cmd = new MySqlCommand();
            cmd.Connection = conn;
            cmd.Parameters.AddWithValue("@usr", username.Text);
           // cmd.Parameters.AddWithValue("@pas", password.Text);
            cmd.CommandText = "select password from users where username = @usr";
            passdb = (string)cmd.ExecuteScalar();
            MySqlCommand ss = new MySqlCommand();
            ss.Connection = conn;
            ss.Parameters.AddWithValue("@uun", username.Text);
            ss.CommandText = "select salt from users where username  = @uun";
            sal= (string)ss.ExecuteScalar();
            submhash = BCrypt.Net.BCrypt.HashPassword(password.Text, sal);
            MySqlCommand com = new MySqlCommand();
            com.Connection = conn;
            com.Parameters.AddWithValue("@unm", username.Text);
            if (BCrypt.Net.BCrypt.Verify(submhash, passdb))
            {
                frmMain fm = new frmMain();
                SesUser.username = username.Text;
                SesUser.password = password.Text;
                this.Hide();
                fm.Show();


            }
            else
            {
                MessageBox.Show("Username or password is incorrect!","Error",MessageBoxButtons.OK,MessageBoxIcon.Error);
                i++;

            }

        }

Answer 1

首先，您应该将MySqlCommand包装在using语句中，因为DbCommand实现了IDisposable。

关于你的BCrypt问题。

您不必创建新哈希并将其与保存的哈希值进行比较。因为每次你这样做都会得到不同的哈希。您只需使用BCrypt.Net对保存的哈希验证密码即可。

因此，以下内容应该有效

if (BCrypt.Net.BCrypt.Verify(password.Text, passdb))
{
  // logged in
}
// not logged in

我希望passdb保存一个bcrypt哈希，就像折叠一样：

$2a$12$VvDRKYKGt4Zd2Ux35LeG2OI.Vr5f.UuY2q7MrnHlJj4K5diifQV3e

Answer 2

int salt = 12;
string passwordHash = BCrypt.Net.BCrypt.HashPassword(enteredpassword, salt);
bool correctPassword = BCrypt.Net.BCrypt.Verify(storedPassword, passwordHash);

我交换了storedPassword和correctPassword的passwordHash，这是真的，而且程序工作正常。

Answer 3

当加密字符串的“前缀”中有一个无效字符时，我遇到了这个错误，bcrypt应该对其进行散列/验证。确保您的bcrypt函数输入字符串以正确的bcrypt版本和盐分长度(例如：$20亿，$10)开头，如在这篇维基百科文章中所示。

我将检查代码中的“sal”字符串，以确保它包含正确的散列修订(从$2b$xyz序列开始)