【问题标题】:Is PasswordFormat.Encrypted secure for Asp.Net membership provider?PasswordFormat.Encrypted 对于 Asp.Net 会员提供商是否安全?
【发布时间】:2012-01-18 16:32:10
【问题描述】:

我在一个网站上使用会员提供程序,并且多年来一直运行良好。今天,我重新访问了该站点,现在担心密码格式选项。我需要用户重置密码的能力,但现在我们不需要找回密码,尽管我们需要在他们重置之前进行安全问答。以下是我正在使用的一些提供程序设置。

enablePasswordRetrieval="true" enablePasswordReset="true" passwordFormat="加密"

主要是担心passwordFormat="Encrypted" 的安全性。 PasswordFormat="Hashed" 看起来更紧凑,但数据库中有很多帐户,我不确定如何转换。

可以在游戏后期转换吗?如果不是,我的网站是否安全?

【问题讨论】:

    标签: asp.net security asp.net-membership forms-authentication membership-provider


    【解决方案1】:

    是否有可能在游戏后期进行转换?

    加密密码格式使用可逆加密,所以有办法。也许这会有所帮助:Changing passwordFormat from Encrypted to Hashed

    如果不是,我的网站是否安全?

    使用散列密码保护的安全性在于它使用“单向”算法。没有密钥可以逆转数据的加扰,只有一种方法可以确定提供的数据(密码)是否与散列数据匹配。

    因此,使用可逆加密,您的密码仅与您使用的加密密钥一样安全。如果您将机器密钥存储在配置中,并使用受保护的配置,则您的安全性将取决于服务器的 PKI 证书私钥,该私钥保存在 Web 服务器本地。如果您担心服务器的暴露,您可能需要更改密码格式。这取决于你。

    【讨论】:

      猜你喜欢
      • 2011-10-08
      • 2011-02-23
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-05-27
      • 2011-03-08
      • 2011-05-15
      • 1970-01-01
      相关资源
      最近更新 更多