Je sais que le titre est un peu éteint, mais il est difficile d'expliquer le problème dans une courte phrase. Je suis l'administrateur d'une application Web héritée qui permet aux utilisateurs de créer des sondages et de les distribuer à un groupe de personnes. Nous avons deux types d '"utilisateurs".Connexion pour webapp, doit être disponible pour le personnel de soutien
- Les détenteurs de licence autorisés qui se configurent tous eux-mêmes.
- Les clients qui veulent juste avoir une course d'enquête, mais ont encore besoin d'un utilisateur (parce que le webapp a « Utilisateur » comme l'entité supérieure dans un surveyenvironment.)
Parfois, les utilisateurs # 1 veulent que nous fassions la configuration pour eux (que nous proposons de faire). Cela signifie que nous devons nous connecter comme eux. C'est aussi la façon dont nous soutenons: nous nous identifions comme eux, puis les suivons, les guidant.
Ce qui m'amène à mon dilemme. Actuellement, notre sécurité est inférieure à la normale. Mais cela nous facilite la tâche. Nous voulons augmenter notre sécurité, et une chose que je considère est de faire le hachage normal à DB, cependant, nous devons pouvoir nous connecter en tant que client, et s'ils changent leur mot de passe sans nous le dire, et le mot de passe est haché dans le db, nous n'avons aucun moyen de le savoir. Donc, je pensais à une sorte de cryptage à deux voies pour les mots de passe. Soit ça ou une sorte de mot de passe principal.
Des suggestions?
(La plate-forme est ASP classique ... Je l'ai dit était héritage ...)
cela permet de stocker tous les mots de passe avec un fort cryptage unidirectionnel –