Quelle est la meilleure pratique pour stocker les détails de connexion de base de données dans .NET?

Question

Cela peut être un doublon (question) mais je cherche spécifiquement la meilleure pratique .NET. Comment mémoriser des chaînes de connexion à une base de données, un nom d'utilisateur et un mot de passe, etc. de manière sécurisée? Une application.config chiffrée est-elle la meilleure dans la plupart des cas?

Je voudrais aussi pouvoir définir le mot de passe dans le fichier de configuration et le crypter dès que l'application démarre. (Je ne demande pas de solution car j'ai déjà résolu cela, je suis juste à la recherche des meilleures pratiques).

Je suis également intéressé par les solutions alternatives avec lesquelles vous avez une bonne expérience.

Answer 1

Je pense que la meilleure pratique consiste à utiliser la sécurité intégrée si possible, pour 2 raisons ... C'est la solution la plus simple à gérer et c'est la solution la plus simple pour y arriver. Si pour une raison quelconque, vous ne pouvez pas utiliser la sécurité intégrée et que vous devez utiliser un nom d'utilisateur et un mot de passe pour les chiffrer à l'aide du gestionnaire de configuration Enterprise Library pour chiffrer les sections de votre fichier web.config.

Answer 2

Il y a plusieurs choses que nous devons savoir sur la protection des chaînes de connexion: http://msdn.microsoft.com/en-us/library/89211k9b.aspx

À mon avis la meilleure façon de les stocker (celui qui combine flexibilité et sécurité) est « Cryptage sections du fichier de configuration à l'aide Protégées Configuration ": http://msdn.microsoft.com/en-us/library/ms254494.aspx

Answer 3

Ce serait web.config. Vous pouvez chiffrer la chaîne de connexion si la confidentialité est un problème.

Answer 4

Quelque chose que j'ai trouvé utile dernièrement, est le service Single Sign On de Microsoft. Si vous devez utiliser l'authentification SQL, vous pouvez stocker les informations d'identification réelles dans une base de données chiffrée.