Si vous allez offrir ce dans un site Web, vous devriez prendre en compte les implications de sécurité. Un site de changement de mot de passe en libre-service est généralement considéré comme un risque de sécurité majeur et n'est pas commun.
Vous indiquez que vos utilisateurs sont distants. Si le site est public, comment vont-ils s'authentifier via l'authentification intégrée? Ils seulement la manière que je sais rendre ceci possible est par VPN. Sinon, ils devront utiliser l'authentification de base pour entrer leur nom d'utilisateur et mot de passe. C'est très peu sûr, même sur SSL.
Voici quelques recommandations:
- sécuriser le site en utilisant des certificats clients. Si ce n'est pas possible, utilisez SSL au minimum.
- Je vous recommande fortement d'implémenter la logique de changement de mot de passe dans un service web sécurisé. La page ASP.NET doit appeler le service Web pour demander la modification.
- Vous devez stocker une trace d'audit des modifications de mot de passe. NE PAS stocker les mots de passe, juste un journal des événements de l'utilisateur, l'heure et l'adresse IP.
- Faites un test approfondi pour vous assurer que la sécurité intégrée reconnaît correctement vos utilisateurs. Assurez-vous que les utilisateurs ne peuvent pas modifier accidentellement les mots de passe des autres utilisateurs.
Comment l'ajout d'un service Web peut-il améliorer la sécurité? Cela signifie que les mots de passe sont envoyés à travers encore plus de sauts. –