Я знаю, что вы говорите, но я думаю, что вы подразумеваете связь между функцией «запомнить меня» и функцией «смена пароля», которой на практике нет. Токен аутентификации, который вы получаете при аутентификации, обычно не привязан к значению пароля (т. Е. При использовании поставщика членства), в конце концов, вы логически сохраняете аутентификацию identity между сеансами, и в этом отношении, это работает просто отлично.
Если честно, это больше похоже на проблему с поведением пользователя, чем на технологию. В вашем случае кто-то сознательно просит браузер разрешить им оставаться аутентифицированными в течение длительного периода времени и делает это на компьютере, который он не контролирует. Конечно, я предполагаю, что у вас есть флажок «запомнить меня», а если нет, то ваш ответ тут же.
Еще одна вещь, на которую вы, возможно, захотите взглянуть, - это то, о чем OWASP говорит в части 3 из Топ-10 - Сломанная аутентификация и управление сеансами . Эта ссылка поместит ее в контекст .NET для вас, но вкратце, она много говорит об уменьшении возможности того, что вы описываете, в результате таких вещей, как истечение срока ожидания сеанса, отключение скользящих сеансов и, очевидно, предоставление конечным пользователям контроля истечь токен по истечении сеанса и выйти в любое время.