Tôi có một dự án và dường như các nhà thiết kế phần mềm đã không đưa vấn đề bảo mật vào xem xét.Mã hóa AES của T-SQL so với Hashing/Salting để đăng nhập người dùng vào trang web
Mật khẩu được lưu trữ ở dạng văn bản thuần túy và được truyền qua văn bản thuần túy. Vì vậy, tôi còn lại với nhiệm vụ sửa lỗi này.
Tôi hơi bị đe dọa về an ninh, vì vậy câu hỏi của tôi là: để xác thực mật khẩu người dùng trực tuyến tốt hơn là sử dụng kỹ thuật băm/muối hay sử dụng mã hóa AES tốt hơn? Tôi có thể có những ưu và khuyết điểm.
Sẽ tốt hơn nếu bạn sử dụng nhà cung cấp thành viên ASP.NET? Điều này có dễ dàng không? Tôi đã sử dụng nó trước đây, nhưng phần mềm gọi trên các bảng riêng của nó, vì vậy tôi không chắc liệu đó có phải là rắc rối hơn ở đó không.
Nếu điều này đã được trả lời thì ai đó có thể hướng dẫn tôi ở đó, bởi vì tôi không tìm thấy so sánh.
Câu trả lời tôi cần cảm ơn. Trên lưu ý của thành viên asp.net: Các phần mềm đã không sử dụng nó (mà giải thích đau đầu). Tôi đã chỉ xem xét các bảng và tôi nghĩ rằng giải pháp tốt nhất là chỉ cần thêm một cột mới cho userid aspmembership. – pqsk
Lưu ý rằng việc thêm một cột mới cho userm aspmembership không tránh được nastiness tôi đề cập đến trong [answer] (http://stackoverflow.com/questions/8123382/t-sql-aes-encryption-vs-hashing-salting-for -logging-in-users-to-website/8123808 # 8123808), mặc dù nó cung cấp cho bạn các lựa chọn về chính xác loại tên người dùng thay đổi xấu nào sẽ giới thiệu. – Brian