在c＃dotnet核心控制檯應用程序中保護密碼輸入

Question

很長時間潛伏在這裏終於有一個問題，我沒有看到。我正在用dotnet核心編寫一個c＃控制檯應用程序，並試圖允許用戶輸入密碼，並擔心安全性，特別是內存轉儲。

以下：Password masking console application我的理解是，存儲爲一個字符串變量密碼可以通過內存轉儲（reference）被曝光。

SecureString通常是這裏的方式，但似乎不支持dotnet core。

我試着修改代碼來使用char數組，因爲我的有限理解是它不是不可變的，所以它不會全部存儲在單個內存中。老實說雖然安全不是我的特長，所以我的問題是，如果下面的代碼正確地保護我通過內存轉儲公開密碼？

 Console.WriteLine("Enter pass"); 
     char[] passwordArray = new char[256]; 
     int whileIndex = 0; 

     while (true) 
     { 
      ConsoleKeyInfo key = Console.ReadKey(true); 
      if (key.Key == ConsoleKey.Enter) 
      { 
       break; 
      } 
      else if (key.Key == ConsoleKey.Backspace) 
      { 
       if (whileIndex != 0) //so it doesn't explode if someone holds backspace 
       { 
        whileIndex--; 
       } 
      } 
      else 
      { 
       passwordArray[whileIndex] = key.KeyChar; 
       whileIndex++; 
      } 
     } 
     //Truncate array to length of password 
     var endIndex = Array.IndexOf(passwordArray,'\0'); 
     char[] shortenedPasswordArray = new char[endIndex]; 
     Array.Copy(passwordArray, shortenedPasswordArray, endIndex); 

     //Authentication code here 

     //Wipe the characters when done 
     foreach(var passChar in passwordArray) 
     { 
      passwordArray[passChar] = '\0'; 
     } 

     foreach (var passChar in shortenedPasswordArray) 
     { 
      shortenedPasswordArray[passChar] = '\0'; 
     } 

Answer 1

一些評論： 1）首先記住，安全是不是在一個應用程序解決。對於完全訪問機器的人來說，幾乎沒有任何事情可以使密碼真正安全。

（有趣的練習：你如何不用在內存中保存的密碼都驗證了密碼？）

2）僅SecureString的，讓你決定什麼時候它給你更多的控制權密碼的壽命在內存消失了。普通字符串可能會在內存中持續很長時間，甚至直到程序退出，因爲它在垃圾回收之前不會消失。 SecureString可以讓你明確地清除它，但是直到那時它仍然存在於內存中。 3）使用你自己的字符數組是一個好主意，但我可能使用了一個List，因爲它允許一個可變長度，或者甚至是一個LinkedList，因爲它將字符擴展到內存中。聳肩。請參閱＃1並考慮您保護密碼的攻擊類型。

Answer 2

我會存儲用戶的輸入後，它已被安全密碼散列算法處理。當用戶需要再次驗證時可以訪問相同的算法，並使用結果驗證用戶。