Безопасно ли хранить хэш логина и пароля в сеансе?

Question

Как лучше всего хранить имя пользователя и логин SHA1 для приложения в интрасети?

Является ли сеанс относительно безопасным способом хранения информации, такой как информация о нескольких доменах, имя пользователя и пароль? Я держу их как Session["data"] = customObject()

Нужно ли делать какой-либо дополнительный шаг для защиты этих данных? Есть ли потенциальная проблема безопасности или дыра, которая может быть скомпрометирована? Какой-то сеанс инъекции? Должен ли я использовать какой-то процесс privatekey для блокировки / открытия данных сеанса для чтения?

Answer 1

Хранение хэша пароля является безопасным, в любом случае.Идея хеширования пароля заключается в том, что его нельзя преобразовать в пароль.Вот почему хешированные пароли являются рекомендуемой практикой и обычно хранятся в базах данных (т. Е. Поставщик членства ASP.net).Youc использует шифрование, но IMHO, который менее безопасен, чем хеширование.

Хранение хеш-пароля в состоянии сеанса, либо inProc, sqlserver или сервера сеанса - это нормальноХранение необработанного пароля должно быть непростым делом.

Вам не следует раскрывать хешированный пароль миру ни через форму, ни через URL-адрес, поскольку SHA1 признан небезопасным.Я бы порекомендовал SHA256, но в любом случае не публикуйте хеш.

Мне было бы интересно, почему вы вообще хотите хранить эту информацию.Я не могу думать ни о какой ценности, которую это имеет.После того, как пароль был хеширован, его нельзя использовать для повторной аутентификации пользователя на другом сайте.

Answer 2

Это зависит от того, где хранятся данные вашего сеанса. Если InProc, вероятно, не так уж много беспокоиться. Если на сервере SQL, немного больше риска, но все же, что-то под вашим контролем. Если по какой-то причине вы храните данные о состоянии сеанса в состоянии страницы, у вас есть проблема.