Cách tốt nhất để lưu trữ mật khẩu hoặc khóa riêng tư trên máy chủ lưu trữ web là gì?

Question

Tôi không đề cập đến mật khẩu mà không cần phải được sử dụng (chẳng hạn như mật khẩu cho người dùng khác để trang web của tôi - trong trường hợp này tôi thực sự không phải lưu trữ chúng Xem https://stackoverflow.com/a/1054069/939213..) vì vậy chỉ cần lưu trữ băm không phải là một lựa chọn.

Tôi đang đề cập đến lưu trữ mật khẩu vào cơ sở dữ liệu SQL và khóa riêng tư mà phần mềm trên máy chủ dùng chung phải sử dụng.

Tôi giả sử không có thực sự là cách bảo mật để thực hiện điều đó. Tôi chỉ muốn biết những gì là tốt nhất trong tình huống này .

Tôi đang cố giữ an toàn cho chúng khỏi tin tặc (trên cùng một máy chủ web). Không phải từ những người khác có quyền xem tệp.

Đó là codebehind ASP.Net sẽ sử dụng chúng.

Answer 1

Windows cung cấp các API Data Protection (DPAPI) đặc biệt cho mục đích này. Nhìn vào lớp ProtectedData để tiêu thụ nó từ .NET.

Ưu điểm của DPAPI là dữ liệu nhạy cảm của bạn được mã hóa dựa trên thông tin đăng nhập của người dùng Windows, có nghĩa là nó an toàn trừ khi tài khoản Windows của bạn bị xâm nhập.

Answer 2

Cách tốt nhất để lưu trữ mật khẩu là không lưu trữ mật khẩu. Sử dụng xác thực tích hợp (Windows) để kết nối với SQL Server. Điều này liên quan đến việc chạy hồ bơi ứng dụng IIS của bạn dưới dạng người dùng (Windows) cụ thể và granting that user access để đăng nhập vào cơ sở dữ liệu và chạy các truy vấn cần thiết.

Xem thêm SQL Server Integrated Authentication Mode

Ngoài việc bảo mật hơn, nó hoạt động tốt hơn. Sử dụng chuỗi kết nối cho mỗi người dùng sẽ đánh bại kết nối tổng hợp.

EDIT:

Nếu bắt buộc phải lưu trữ mật khẩu, sau đó sử dụng Encrypted Connection Strings trong ASP.NET là con đường để đi. Điều này đảm bảo việc sử dụng DPAPI để lưu trữ chuỗi kết nối và khóa máy một cách chính xác, làm giảm cơ hội bạn vặn nó lên và nghĩ rằng bạn đã bảo đảm nó khi bạn chưa có.

Ngoài ra: Encrypting Connection String in web.config