Cookies de sécurité ASP.NET

Question

J'ai un code pour persister des informations dans les cookies sur les utilisateurs comme UserName et mot de passe.

Question est:

Son pas en sécurité pour stocker des informations comme le texte brut en magasin cookies.My DB mots de passe hachés, pour que je puisse sauver les hashs dans les cookies et les récupérer plus tard, mais si je fais que je ne reviendrai pas être capable de remplir la zone de texte du mot de passe parce que la chaîne de hachage serait trop longue pour cela.

Y a-t-il des solutions?

Answer 1

Vous ne devriez jamais stocker les mots de passe en texte brut, et même un mot de passe haché peut être vulnérable à la recherche inversée à moins qu'il ne soit salé correctement. L'authentification par formulaires ASP.NET vous permet déjà de créer un cookie d'authentification persistante qui permettra à l'utilisateur de rester connecté, vous devriez donc l'utiliser à la place. Voir les propriétés Timeout, expires et IsPersistant lorsque Creating the Forms Authentication Cookies.

Vous pouvez également configurer un système token based authentication, par lequel les utilisateurs obtiennent un jeton de sécurité après avoir entré leurs informations de connexion et que ce jeton est valide pour une durée spécifiée. C'est ainsi que fonctionnent les identifiants Live et Google, et ils stockent généralement le tolken dans un cookie valable plusieurs semaines à la fois.