對於Asp.Net成員資格提供者，PasswordFormat.Encrypted安全嗎？

Question

我在網站上使用成員資格提供商，並且多年來運作良好。今天，我重新訪問了該網站，現在我擔心密碼格式選項。我需要用戶重置密碼的能力，但現在我們不需要密碼檢索，但我們在重置前需要安全Q & A.以下是我正在使用的一些提供者設置。

enablePasswordRetrieval = 「真」 enablePasswordReset設置= 「真」 了passwordFormat = 「加密」

主要是，我很擔心了passwordFormat = 「加密」 的安全性。 PasswordFormat =「Hashed」看起來更緊密，但數據庫中有很多帳戶，我不確定我將如何轉換。

是否有可能在遊戲後期進行轉換？如果沒有，我的網站是否安全？

Answer 1

是否有可能在遊戲後期將其轉換？

加密密碼格式使用可逆加密，所以有辦法。也許這將有助於：Changing passwordFormat from Encrypted to Hashed

如果不是，我的網站是否安全？

使用散列密碼保護的安全性是它使用「單向」算法。沒有密鑰來反轉數據的加擾，只有一種方法來確定提供的數據（密碼）是否與散列數據匹配。

因此，使用可逆加密，您的密碼只與您使用的加密密鑰一樣安全。如果將機器密鑰存儲在配置中，並且使用受保護的配置，則安全性將停留在Web服務器本地保存的服務器的PKI證書私鑰上。如果您擔心服務器的暴露，則可能需要更改密碼格式。隨你便。