Memorizzare password in chiaro nel database è uno degli errori da evitare, se vogliamo salvaguardare la sicurezza degli account dei nostri utenti.
Una condotta più indicata è quella di salvare invece un hash della password, ovvero una sua impronta formata da una sequenza di caratteri non invertibile.
In ASP.NET Identity, il calcolo dell'hash viene affidato dalla classe PasswordHasher, che troviamo nel package NuGet Microsoft.AspNet.Identity.Core.
Le precise responsabilità di questo componente sono:
- Calcolare l'hash della password impostata dall'utente;
- Verificare che l'hash della password fornita durante il login corrisponda a quello salvato in precedenza.
Il PasswordHasher si avvale dell'algoritmo RFC 2898 (https://www.ietf.org/rfc/rfc2898.txt") per produrre un hash robusto, che scoraggia i tentativi di attacco finalizzati al recupero della password con brute force (http://it.wikipedia.org/wiki/Metodo_forza_bruta) o tramite le cosiddette rainbow table (http://it.wikipedia.org/wiki/Tabella_arcobaleno).
A volte, dobbiamo rinunciare a questo grado di robustezza in favore di un password hasher personalizzato. Se vogliamo per esempio iniziare ad usare ASP.NET Identity con un database preesistente, già popolato di utenti, allora dovremo adottare lo stesso algoritmo usato originariamente per produrre gli hash.
In questo esempio, scriviamo un semplice password hasher che si avvale dall'algoritmo SHA1.
Iniziamo aggiungendo una nuova classe SHA1PasswordHasher ad una cartella del nostro progetto, come ad esempio /Models, e facciamole implementare l'interfaccia IPasswordHasher.
public class SHA1PasswordHasher : IPasswordHasher { //L'hash viene prodotto qui, durante la registrazione o il cambio password public string HashPassword(string password) { if (password.Equals(null)) throw new ArgumentNullException("Devi fornire una password"); //Calcoliamo l'hash con la classe SHA1Managed var hasher = new SHA1Managed(); var buffer = Encoding.UTF8.GetBytes(password); var hash = hasher.ComputeHash(buffer); return BitConverter.ToString(hash).Replace("-", string.Empty); } //Il metodo di verfica viene invocato durante il login public PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword) { //Calcolo l'hash per la password immessa dall'utente durante il login var passwordHash = HashPassword(providedPassword); //Lo confronto con l'hash calcolato in precedenza var hashesMatch = hashedPassword.Equals(passwordHash, StringComparison.InvariantCultureIgnoreCase); return hashesMatch ? PasswordVerificationResult.Success : PasswordVerificationResult.Failed; } }
Ora non resta che creare un'istanza del nostro SHA1PasswordHasher ed assegnarla allo UserManager affinché ne faccia uso. Da una tipica applicazione ASP.NET MVC 5 creata con Visual Studio 2013, apriamo il file App_Start/IdentityConfig.cs e aggiungiamo la seguente riga nel metodo Create.
manager.PasswordHasher = new SHA1PasswordHasher();
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Migrare una service connection a workload identity federation in Azure DevOps
Eseguire una GroupBy per entity in Entity Framework
Utilizzare HiLo per ottimizzare le insert in un database con Entity Framework
Reactive form tipizzati con modellazione del FormBuilder in Angular
Short-circuiting della Pipeline in ASP.NET Core
Cambiare la chiave di partizionamento di Azure Cosmos DB
Semplificare il deployment di siti statici con Azure Static Web App
Creazione di componenti personalizzati in React.js con Tailwind CSS
Creazione di plugin per Tailwind CSS: espandere le funzionalità del framework dinamicamente
Eseguire operazioni con timeout in React
Registrare servizi multipli tramite chiavi in ASP.NET Core 8
Utilizzare Azure AI Studio per testare i modelli AI