Asp.NetメンバーシッププロバイダのPasswordFormat.Encryptedは安全ですか？

Question

私はサイトのメンバーシッププロバイダーを使用しています。これは何年もうまく機能しています。今日、私はサイトを再訪し、パスワードフォーマットオプションについて心配しています。ユーザーがパスワードをリセットできるようにする必要がありますが、パスワードを取得する必要はありませんが、リセットする前にセキュリティQ & Aが必要です。以下は私が使用しているプロバイダの設定の一部です。

enablePasswordRetrieval = "true" を enablePasswordReset = "true" を passwordFormat = "暗号化"

主に、私はpasswordFormat = "暗号化" のセキュリティが心配です。 PasswordFormat = "Hashed"ははるかにタイトに見えますが、データベースに多くのアカウントがあると、どのように変換するのか分かりません。

これをゲームの後半に変換することはできますか？そうでない場合、私のサイトは安全ですか？

Answer 1

これをゲームの後半に変換することはできますか？

暗号化されたパスワード形式では可逆暗号化が使用されるため、方法があります。おそらく、これは役に立ちます：Changing passwordFormat from Encrypted to Hashed

私のサイトは安全ですか？

ハッシュされたパスワード保護を使用するセキュリティは、「一方向」アルゴリズムを使用しています。指定されたデータ（パスワード）がハッシュされたデータと一致するかどうかを判断する方法だけが、データのスクランブリングを元に戻すためのキーはありません。

したがって、可逆暗号化を使用すると、パスワードは使用する暗号化キーと同じくらい安全です。構成にマシンキーを格納し、保護された構成を使用すると、セキュリティはWebサーバー上でローカルに保持されているサーバーのPKI証明書秘密キーに依存します。サーバーの公開が懸念される場合は、パスワード形式を変更することをお勧めします。それはあなた次第です。