Хранение учетной записи / паролей

Question

Я работаю над веб-приложением, в котором нужно будет хранить имена пользователей и пароли. Информация об учетной записи будет необходима для вторичной аутентификации от имени пользователей, поэтому я не могу просто хранить имена пользователей и пароли, используя одностороннее хеширование с солью и т. Д.

Предполагая, что мое основное требование не может измениться, какие-либо предложения о том, как обрабатывать хранение этих учетных записей? Симметричное шифрование с использованием машинного ключа? Использование случайного ключа в web.config? Использование шифрования на основе SQL?

Answer 1

Почему бы вам не использовать встроенные MembershipProviders? http://msdn.microsoft.com/en-us/library/yh26yfzy.aspx

Answer 2

Лучшей практикой здесь является не запрашивать эту информацию до момента передачи ее внешнему поставщику. Затем сохраняйте только маркер аутентификации внешнего провайдера, так что вам нужно будет снова запрашивать учетные данные только в тех местах, где внешний ресурс потребовал бы их, если бы пользователь обращался к нему напрямую.

Answer 3

SqlMemebershipProvider имеет все необходимое. Существует даже встроенное приложение, которое поставляется с .NET, которое подготовит вашу БД.

Вот страница MSDN в инструменте подготовки базы данных