Wie Passwort-Regeln für ASP.NET Identität?

In meinem ASP.NET Anwendungen habe ich folgende Einstellungen in DefaultMembershipProvider und SqlMembershipProvider im web.config:

enablePasswordRetrieval="true"
passwordFormat="Clear" 
requiresQuestionAndAnswer="false"

Sind Sie erforderlich für die Digest-Authentifizierung. Ich möchte zu bewegen, zu ASP.NET Identität. Ich bin mit automatisierten tool, aktualisieren Sie alle web.config-Dateien, die ich verwalten.

Wie setze ich diese Einstellungen für ASP.NET Identität in das Projekt generiert Visual Studio 2013?

  • Passwort retrieval erhöht erheblich die Schwäche einer Anwendung, indem die zwei-Wege-Verschlüsselung und dann die Weiterleitung von Anmeldeinformationen in Klartext. Prüfen Sie die Implementierung Passwort-reset-Token per e-mail statt, wenn möglich.
  • Ich bin mir ziemlich sicher, dass dies nicht möglich ist, mit Digest-auth.
  • Ich fand 2014 datierten Artikel über benutzerdefinierte Passwort-Richtlinie blogs.msdn.microsoft.com/webdev/2014/01/06/...
InformationsquelleAutor IT Hit WebDAV | 2013-10-23
  1. 19

    Müssen Sie IPasswordHasher Umsetzung bereitstellen kann, klar ohne Passwort-hashing. Sie können festlegen, UserManager.PasswordHasher zu Ihrer Umsetzung.

    Ab jetzt gibt es keine web.config konfigurierbar Einstellungen für die Identität. Sie müssen eine geeignete Mischung aus konfigurierbar im code, vor allem in Startup.cs

    Es wird nicht empfohlen für die Speicherung der Passwörter in übersichtlicher Form.

    public class ClearPassword : IPasswordHasher
{
    public string HashPassword(string password)
    {
        return password;
    }

    public PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword)
    {
        if(hashedPassword.Equals(providedPassword))
            return PasswordVerificationResult.Success;
        else return PasswordVerificationResult.Failed;
    }
}
    • Die mitgelieferte Passwort ist in Klartext oder gehasht (in Fall verwendeten wir Hash-Passwörter)?
    • Das Beispiel der klar-text-Kennwort. Implementieren Sie hashing-Algorithmus, der in HashPassword(string Passwort) - Funktion und die gleiche Weise überprüfen, ob es in VerifyHashedPassword Funktion.
    • Dank jd4u, aber ich couldnt bekommen , wo Sie diese Klasse und wo Sie es nennen?
    InformationsquelleAutor jd4u
Schreibe einen Kommentar