защита паролей в коде

Question

Даже при включенном https вы можете записать пароль в журнал событий с помощью code-behind. Есть ли способ сохранить этот пароль в коде, пока вы проверяете его в хранилище данных?

(с использованием контроля входа в систему)

(не удалось добавить комментарий к ответу Эндрю, поэтому я выкладываю его здесь)
NTLM использует имя пользователя / пароль машины, в которую входит пользователь, верно? Для этого я подумывал об использовании ActiveDirectory на сервере в качестве хранилища данных. Он будет отличаться от un / pw, чем то, что пользователь в настоящее время вошел в систему на своем компьютере.

Answer 1

Проверьте SecureString класс.

Представляет текст, который должен быть конфиденциальным. Текст зашифрован для конфиденциальности при использовании и удален из памяти компьютера, когда он больше не нужен.

Answer 2

Если вы отправляете простой текстовый пароль в форме отправки, он всегда доступен в объекте HttpContext.Это не может быть удалено или зашифровано в течение жизни страницы.Возможность сохранить его доступна все время, пока готовый ответ страницы не будет передан клиенту.Более того, пароль доступен в виде открытого текста в памяти и доступен через шестнадцатеричный редактор (в ОЗУ).

Если вас беспокоит доступность пароля на этих модах, вам будет лучше, если вы включите аутентификацию NTLM через встроенную аутентификацию Windows, которая хэшируется от взрыва до маркеров.

Answer 3

Если вы беспокоитесь о том, что незашифрованный пароль находится в памяти, просто зашифруйте его как можно скорее в своем рабочем процессе.Также убедитесь, что вы никогда не записываете незашифрованный пароль в журналы событий.