Ho un progetto e apparentemente i progettisti del software non hanno messo in sicurezza la sicurezza.Crittografia AES T-SQL vs Hashing/Salting per l'accesso degli utenti al sito web
Le password vengono memorizzate in testo normale e trasmesse in testo normale. Quindi mi rimane il compito di sistemarlo.
Sono un po 'arrugginito sulla sicurezza, quindi la mia domanda è: per l'autenticazione della password utente online è meglio usare le tecniche di hashing/salting o è meglio usare la crittografia AES? Potrei avere i pro e i contro.
Sarebbe meglio utilizzare in qualche modo il provider di appartenenze ASP.NET? Sarebbe facile da fare? L'ho usato prima, ma il software chiama le sue tabelle, quindi non sono sicuro che ci siano più problemi lì.
Se questo è stato risolto, qualcuno potrebbe indirizzarmi lì, perché non ho trovato un confronto.
La risposta di cui avevo bisogno, grazie. Sulla nota dell'appartenenza a asp.net: il software non lo ha usato (il che spiega il mal di testa). Stavo solo rivedendo le tabelle e penso che la soluzione migliore sarebbe semplicemente aggiungere una nuova colonna per l'ID utente aspmembership. – pqsk
Si noti che l'aggiunta di una nuova colonna per l'utenteid di aspmembership non evita la cattiveria che ho menzionato in [la mia risposta] (http://stackoverflow.com/questions/8123382/t-sql-aes-encryption-vs-hashing-salting-for -logging-in-users-to-website/8123808 # 8123808), anche se ti dà delle scelte su esattamente quale tipo di brutto cambiamento introdurrà i nomi utente. – Brian