यदि आप दर्ज उपयोगकर्ता नाम और पासवर्ड को सत्यापित/सत्यापित करने जा रहे हैं, तो Rfc2898DerivedBytes कक्षा (जिसे पासवर्ड आधारित कुंजी व्युत्पन्न फ़ंक्शन 2 या पीबीकेडीएफ 2 भी कहा जाता है) का उपयोग करें। यह ट्रिपल डीईएस या एईएस जैसे एन्क्रिप्शन का उपयोग करने से अधिक सुरक्षित है क्योंकि RFC2898DerivedBytes के पासवर्ड से पासवर्ड पर जाने का कोई व्यावहारिक तरीका नहीं है। आप केवल परिणाम से पासवर्ड से जा सकते हैं। WinRT/Metro के लिए .NET या String encrypt/decrypt with password c# Metro Style के लिए उदाहरण और चर्चा के लिए Is it ok to use SHA1 hash of password as a salt when deriving encryption key and IV from password string? देखें।
यदि आप पुन: उपयोग के लिए पासवर्ड संग्रहीत कर रहे हैं, जैसे इसे किसी तृतीय पक्ष को आपूर्ति करना, Windows Data Protection API (DPAPI) का उपयोग करें। यह सूचना को एन्क्रिप्ट और डिक्रिप्ट करने के लिए ऑपरेटिंग सिस्टम जेनरेट और संरक्षित कुंजी और Triple DES एन्क्रिप्शन एल्गोरिदम का उपयोग करता है। इसका मतलब यह है आपके आवेदन पैदा करने और जब क्रिप्टोग्राफी का उपयोग कर एन्क्रिप्शन कुंजी, एक प्रमुख चिंता का विषय की सुरक्षा के बारे में चिंता करने की जरूरत नहीं है।
सी # में, System.Security.Cryptography.ProtectedData वर्ग का उपयोग करें। उदाहरण के लिए, डेटा का एक टुकड़ा एन्क्रिप्ट करने के लिए, ProtectedData.Protect() का उपयोग करें:
// Data to protect. Convert a string to a byte[] using Encoding.UTF8.GetBytes().
byte[] plaintext;
// Generate additional entropy (will be used as the Initialization vector)
byte[] entropy = new byte[20];
using(RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider())
{
rng.GetBytes(entropy);
}
byte[] ciphertext = ProtectedData.Protect(plaintext, entropy,
DataProtectionScope.CurrentUser);
स्टोर एन्ट्रापी और इस तरह तो केवल वर्तमान उपयोगकर्ता यह पढ़ सकते हैं सेट अनुमतियों के साथ एक फ़ाइल या रजिस्ट्री कुंजी में के रूप में सुरक्षित रूप से सिफर,। मूल डेटा तक पहुँच प्राप्त करने के लिए, ProtectedData.Unprotect() का उपयोग करें:
byte[] plaintext= ProtectedData.Unprotect(ciphertext, entropy,
DataProtectionScope.CurrentUser);
नोट अतिरिक्त सुरक्षा कारणों से देखते हैं कि। उदाहरण के लिए, एक string के रूप में पासवर्ड जैसी रहस्य भंडारण से बचें।स्ट्रिंग्स अपरिवर्तनीय हैं, क्योंकि उन्हें स्मृति में अधिसूचित नहीं किया जा सकता है, इसलिए कोई व्यक्ति एप्लिकेशन की मेमोरी या मेमोरी डंप को देखकर पासवर्ड देख सकता है। इसके बजाय SecureString या बाइट [] का उपयोग करें और जैसे ही पासवर्ड की आवश्यकता नहीं है, उन्हें निपटाने या शून्य करने के लिए याद रखें।
सबसे पहले, पासवर्ड को सुरक्षित न करें। इसे (शायद नमक मूल्य के साथ) हैश करें, और इसके बजाय इसे सेव करें। – carlosfigueira
"उपयोगकर्ता" आपका मतलब नियमित विंडोज उपयोगकर्ता या कुछ और है? (मुझे लगता है कि आप का मतलब है कि आप में से कुछ "उपयोगकर्ता" हैं क्योंकि नियमित विंडोज उपयोगकर्ता पहले से ही एक दूसरे के डेटा को नहीं देख सकता है ...) –
मैंने आपका शीर्षक संपादित किया है। कृपया देखें, "[प्रश्नों में उनके शीर्षक में" टैग "शामिल होना चाहिए?] (Http://meta.stackexchange.com/questions/19190/)", जहां आम सहमति है "नहीं, उन्हें नहीं करना चाहिए"। –