1
私は、ユーザーパスワードのハッシュを格納し、そのハッシュに対して入力されたパスワードをテストして認証チケットを与える.NETアプリケーションでカスタム認証メカニズムを使用しています。カスタム認証 - ユーザーアカウント偽装のベストプラクティス?
パスワードがハッシュされていると、明らかにユーザーのパスワードがわかりません。
デバッグなどでは、ユーザーを偽装してアカウントにログインする必要がありますが、パスワードがないという事実を回避するシステムが必要です。
マスターパスワードの認証に失敗した場合の2次テストですが、これは少し弱いと考えられますが、マスターパスワードが侵害された場合、電子メールアドレスがわかっていればすべてのアカウントにアクセスできます。
この問題の解決策はありますか?
ありがとうございました。はい、パスワードハッシュは塩漬けです。このため、セキュリティ上のベストプラクティスを実践するのは間違っているように思えますし、効率的にエラーを再現できるようにする必要がありますが、アプリケーションに大きな穴を開けます。私は他の方法を見ます。私はメールを持ってきました(ウェブメールベンダーの方法ではありません)。パスワードリセット機能の「思い出に残る答え」タイプのものであることは間違いありませんが、アプリケーションのセキュリティでこれらの穴を開けてしまうのは、よくあることです。 – gb2d