Если вы собираетесь предложить это на веб-сайте, вы должны учитывать последствия для безопасности. Сайт самообслуживания, изменяющий пароль, как правило, считается серьезной угрозой безопасности и не распространен.
Вы упоминаете, что ваши пользователи являются удаленными. Если сайт будет общедоступным, как они будут проходить аутентификацию через встроенную аутентификацию? Я знаю, что сделать это возможно только через VPN. В противном случае им придется использовать обычную аутентификацию для ввода своего имени пользователя и пароля. Это очень небезопасно, даже через SSL.
Вот несколько рекомендаций:
- Защитите сайт с помощью клиентских сертификатов. Если это невозможно, используйте как минимум SSL.
- Я настоятельно рекомендую вам реализовать реальную логику смены пароля в безопасном веб-сервисе. Страница ASP.NET должна вызвать веб-сервис для запроса изменения.
- Вы должны хранить контрольный журнал изменений пароля. НЕ храните пароли, просто журнал событий пользователя, время и IP-адрес.
- Проведите тщательное тестирование, чтобы убедиться, что встроенная система безопасности правильно распознает ваших пользователей. Убедитесь, что пользователи не могут случайно изменить пароли других пользователей.