PasswordFormat.Encrypted безопасно для поставщика членства Asp.Net?

Question

Я использую членство на сайте, и оно работало годами.Сегодня я снова посетил сайт и теперь обеспокоен возможностью форматирования пароля.Мне нужна возможность для пользователей сбросить свой пароль, но теперь нам не нужно извлекать пароль, хотя нам нужны вопросы и ответы по безопасности перед их сбросом.Ниже приведены некоторые настройки провайдера, которые я использую.

enablePasswordRetrieval = "true" enablePasswordReset = "true" passwordFormat = "Encrypted"

В основном я обеспокоен безопасностью passwordFormat= "Зашифрованные".PasswordFormat = "Hashed" выглядит намного теснее, но с большим количеством учетных записей в базе данных, я не уверен, как бы я конвертировал.

Возможно ли конвертировать это поздно в игре?Если нет, то безопасен ли мой сайт?

Answer 1

Возможно ли конвертировать это поздно в игре?

Зашифрованный формат пароля использует обратимое шифрование, так что есть способ.Может быть, это поможет: Изменение формата пароля с Зашифрованного на Хешированный

Если нет, безопасен ли мой сайт?

Безопасность использования защиты хешированного пароляэто использует «односторонний» алгоритм.Нет ключа, чтобы отменить скремблирование данных, только метод, позволяющий определить, соответствуют ли предоставленные данные (пароль) хешированным данным.

Таким образом, при использовании обратимого шифрования ваши пароли безопасны только так, какключи шифрования, которые вы используете.Если вы сохраняете машинный ключ в конфигурации и используете защищенную конфигурацию, ваша безопасность будет зависеть от закрытого ключа сертификата PKI сервера, который хранится локально на веб-сервере.Если вас беспокоит уязвимость вашего сервера, вы можете изменить формат пароля.Это зависит от вас.