pqs*_*qsk 5 asp.net authentication hash asp.net-membership aes
我有一个项目,显然软件的设计者没有考虑安全性.
密码以纯文本格式存储,并通过纯文本传输.所以我有责任解决这个问题.
我的安全性有点生疏,所以我的问题是:对于在线用户密码验证,最好使用散列/腌制技术,还是使用AES加密更好?我可以有利有弊吗?
以某种方式使用ASP.NET成员资格提供程序会更好吗?这会容易吗?我以前用过它,但是软件会调用它自己的表,所以我不确定那里是否有更多麻烦.
如果这已经得到回答,有人可以指示我,因为我没有找到比较.
您绝不应使用对称加密来存储密码.
每个用户的随机盐,哈希密码,在数据库中存储salt和hash.然后在登录请求中,您通过email/username/id等获取用户,然后使用绑定到该用户的salt并散列其提供的密码,然后将其与存储的哈希进行匹配.如果匹配,请登录,否则密码错误.
如果您使用内置的ASP.NET成员资格提供程序,它应该为您执行此操作.
| 归档时间: |
|
| 查看次数: |
743 次 |
| 最近记录: |