Это, очевидно, применяется гораздо шире, чем просто ASP.
Лучший способ - хешировать пароль ... Вы должны делать это в любом случае, когда храните его в базе данных.
Хеш - криптографическая функция - когда вы пропускаете строку (например, пароль), вы получаете длинный код.Если ввод одинаковый, вывод всегда одинаковый.
Но (это важный бит) математически практически невозможно повернуть процесс вспять - начать с хешированного значения и выработать пароль, другоечем грубая сила (кто-то хэширует словарь или случайные строки и ищет выходные данные, которые соответствуют имеющемуся у них хешу).
Поэтому, когда пользователь настраивает учетную запись, он вводит свой желаемый пароль, но вы хэшируете этохранить это.Аналогичным образом, в файле cookie после входа в систему вы сохраняете хэш, а не пароль, и он сравнивается с хешем в БД.
Недостатком является то, что вы не можете отправить напоминание пароля, так как вы нене знаю пароль - вам нужно будет отправить ссылку для сброса пароля и создать систему для этого.
Если вы действительно параноик, вы можете использовать двойной хэш, например, когда они входят в систему, пароль хешируется один раз.и хранится в cookie.Затем он снова хэшируется и сравнивается с паролем в БД (который также является двойным хэшем).