我们数据库的密码该以什么形式存储？

在实际应用程序中，我们通常在数据库中存储加密过的口令。假设我们的数据库被非法下载了，如果我们先前用的是非对称加密算法（MD5、RSA…），那么攻击者要破解密码是要付出一定代价的，因为要破译（Break)非对称加密算法的密文最捷径的也是最笨的方法就是穷举(Brute-force)！如果我们用的是对称加密算法加密口令的，一旦攻击者获得了加密密钥，他就可以解密在数据库中存储的所有口令。因此，最好的方法是存储口令的单向散列（将这个口令散列和一个 salt 值组合在一起）：

public   static   string  GenerateSalt( int  size)
    {
        RNGCryptoServiceProvider crypto  =   new  RNGCryptoServiceProvider();
         byte [] buff  =   new   byte [size];
        crypto.GetBytes(buff);
         return  Convert.ToBase64String(buff);
    }
     public   static   string  GeneratePwdHash( string  pwd,  string  salt)
    {
         string  saltpwd  =   string .Concat(pwd, salt);
         string  password  =  FormsAuthentication.HashPasswordForStoringInConfigFile(saltpwd,  " SHA1 " );
         return  password;
    }

我的问题是 要验证用户密码的时候每次随机产生的 salt 值都是不同的，再加密一下密码就跟数据库里的不同了，那不是每次验证都失败了？

转载于:https://www.cnblogs.com/Doho/archive/2006/10/15/415378.html