对于 Asp.Net 会员提供商来说，PasswordFormat.Encrypted 是否安全？

Question

我在网站上使用会员提供商，多年来一直运行良好。今天，我重新访问了该网站，现在担心密码格式选项。我需要用户能够重置密码，但现在我们不需要密码检索，尽管我们需要在重置之前进行安全问答。以下是我正在使用的一些提供商设置。

启用密码检索=“真” 启用密码重置=“真” passwordFormat="Encrypted"

主要是我担心passwordFormat="Encrypted"的安全性。 PasswordFormat="Hashed" 看起来更严格，但数据库中有很多帐户，我不确定如何转换。

可以在游戏后期进行转换吗？如果不是，我的网站安全吗？

Answer 1

是否可以在游戏后期进行转换？

加密密码格式采用可逆加密，所以有办法。也许这会有所帮助：将密码格式从加密更改为散列

如果不是，我的网站安全吗？

使用散列密码保护的安全性在于它使用“单向”算法。没有密钥可以逆转数据的加扰，只有一种方法可以确定所提供的数据（密码）是否与散列数据匹配。

因此，使用可逆加密，您的密码仅与您使用的加密密钥一样安全。如果您将机器密钥存储在配置中，并且使用受保护的配置，则您的安全性将依赖于 Web 服务器本地保存的服务器 PKI 证书私钥。如果您担心服务器的暴露，您可能需要更改密码格式。由你决定。