Wie? Verschlüsseln und Entschlüsseln von Benutzer Mitgliedschaft Passwörter in ASP.NET

Erstellen wir eine neue Website mit ASP.NET Mitgliedschaftsanbieter für die Benutzer-Registrierung und log-in. Unserem alten system die verschlüsselten Benutzerkennwörter, so dass wir uns erholen konnten, wenn wir es benötigten.

Ich bin mit sehr viel Mühe, herauszufinden, ob es möglich ist, zu verwenden ASP.NET Mitgliedschaft Funktionen, um einfach das Kennwort verschlüsseln, wenn der Benutzer registriert und dann entschlüsseln, damit ich es sehen kann.

Dokumentation dieser Stadtteil ist nicht existent.

Ich weiß, wie Web konfigurieren.config, um es zu speichern Passwörter als verschlüsselte ala
passwordFormat="Encrypted" in den Anbieter und die Zuweisung eines validationKey in der machineKey, aber es scheint, wie das Passwort bekommt noch Hash (obwohl vielleicht ist es einfach auch verschlüsselt). So oder so kann ich nicht decifer, wie das Passwort wiederhergestellt werden können (durch uns), wenn nötig.

Dank!

InformationsquelleAutor smdrager | 2010-06-10
  1. 10

    Speicherung der Passwörter in der erzielbaren-format ist eine sehr schlechte Idee. Wenn Sie wiederhergestellt werden können, so kann jeder, der bricht in deinen server ein.

    Du bist besser dran mit einem standard-hash+salt Ansatz und mit einem Passwort-reset-Mechanismus, um den Fall behandeln, wo der Benutzer vergessen, Ihre Kennwort ein.

    • Dies ist eine Möglichkeit. Es wäre sehr schlechte PR, wenn die account-Informationen, die jemals rauskam.
    • nicht die ASP.NET Mitgliedschaft unterstützen Sie verschlüsselte Kennwörter standardmäßig? Dies bedeutet, dass das Passwort übertragen wird, in Hash-text und gespeichert in der db im Hash-format. brauchen Sie mehr als das?
    • Nur um zu klären, ASP.NET die Mitgliedschaft unterstützt die klare, Hash -, und verschlüsselte Formate out of the box. Hash ist der Standard und ist nur eine Art und Weise (die beste Einstellung für die meisten Situationen). Verschlüsselte ermöglicht die Entschlüsselung des Passwortes.
    InformationsquelleAutor frankodwyer
  2. 5

    Müssen Sie passwordFormat="Encrypted" eher als passwordFormat="Hashed". Dann können Sie die DecryptPassword Methode der MembershipProvider entschlüsseln das Passwort, wenn nötig.

    InformationsquelleAutor John Bledsoe
  3. 1
    Imports System.Web.Security

Public Class PasswordRecovery
    Inherits SqlMembershipProvider

    Public Function GetDecryptedPassword(ByVal password As String) As String
        Try
            Dim _encodedPassword() As Byte = Convert.FromBase64String(password)
            Dim _bytes() As Byte = DecryptPassword(_encodedPassword)
            If _bytes Is Nothing Then
                Return ""
            Else
                Return System.Text.Encoding.Unicode.GetString(_bytes, &H10, _bytes.Length - &H10)
            End If
        Catch ex As Exception
            Throw New Exception("Error decrypting password.", ex)
        End Try
    End Function
End Class
    • Dim _bytes() As Byte = DecryptPassword(_encodedPassword) geben Fehler nicht finden kann DecryptPassword
    • link DecryptPassword MSDN
    InformationsquelleAutor The Modulator
  4. 0

    Ich nehme an, Sie sind mit dem SQLMembershipProvider, dass MS versorgt. Wenn ja, dann warum nicht verwenden Sie das integrierte Frage-und Antwort-Funktionen, um dem Benutzer erlauben, Ihr Passwort zu ändern. Alternativ (oder zusätzlich) sein Passwort zurücksetzen und Ihnen per E-Mail die neuen man zu Ihnen. Auf diese Weise kann die app nicht über eine Benutzer-Passwort, um niemanden versehentlich.

    Wenn Sie wirklich brauchen, um zu entschlüsseln, Ihre Kennwörter dann die passwordFormat muss festgelegt werden "Verschlüsselt". Sehen DecryptPassword für Informationen zur Entschlüsselung das Passwort. Für details über die Konfiguration der für die Entschlüsselung sehen, die PasswordFormat, beachten Sie, dass es sagt, Sie müssen angeben, dass die decryptionKey-Attribut der machineKey-element.

    • Ich bin mir bewusst, DecryptPassword aber ich kann nicht VWD2010 zu erkennen, es als eine Methode. Egal, welche Referenzen ich oder namespaces, die ich verwende. Irgendeine Idee, warum dies der Fall ist?
    • Versuchen Sie, die Anwendung System.Web.Sicherheit.- Mitgliedschaft.Standard.DecryptPassword. DecryptPassword ist Teil des MembershipProvider-Klasse Signatur hat, dort zu sein. Beachten Sie, dass System.Web.Sicherheit.Die Mitgliedschaft ist eine statische Klasse, nicht aussetzen die gleichen Methoden wie die Implementierung von Klassen.
    InformationsquelleAutor Ken Henderson
Schreibe einen Kommentar