2011-08-30 94 views
0

我正在努力加強C#應用程序身份驗證的安全性。 我有我自己的服務器,我進行身份驗證,並實施了一項服務,可以從隨機生成的隨機鹽中創建新的密碼哈希,並可以驗證密碼對照保存的密碼+哈希值。我將散列的pw + salt保存在服務器端的xml文件中。C#身份驗證安全性最佳實踐

Q1。只要儲存鹽份,然後讓用戶在每次開始食鹽時輸入密碼更安全嗎? Q2。我想讓用戶(公司局域網內)容易,並允許「自動」根據他的AD登錄用戶名進行身份驗證。做這個的最好方式是什麼?我可以在客戶端保存每週大概超時的令牌或證書嗎?

乾杯, 拉塞

+0

?這可以防止用戶每次都必須登錄。您可以將AD Membership Provider插入您的配置文件並使該站點可信。 – TheCodeKing

+0

也沒有人知道如何使它符合SOX? 我是否需要添加所有失敗登錄和密碼更改的日誌記錄? – Damian

+0

我無法控制AD提供者的工作,並且在我想添加用戶(繁文tape節)時速度很慢。我可以設置自己的並行AD提供程序嗎? – Damian

回答

0

答案很簡單:BCrypt

this answer描述:

Bcrypt具有最好的一種,可用於加密算法來實現的聲譽:它已經存在了相當長的一段時間,用得相當廣泛,「引起了人們的關注」,但至今仍然沒有中斷。

我已經寫了有關如何在各種框架這裏實現BCrypt一個詳細的文章:如果您使用AD,爲什麼不直接使用Windows身份驗證http://davismj.me/blog/bcrypt