我正在使用ASP.NET成员资格提供程序,提供3个选项来存储密码 – 清除文本,散列,加密。
鉴于此应用程序的性质,将密码存储在明文中是个好主意?在明文存储密码中是否存在任何法律问题?
从来没有一个很好的理由将密码存储在数据库中。特别是不明文您应该只存储密码的哈希值。
您可以对用户做的最糟糕的事情是通过互联网以明文电子邮件广播其“恢复”密码。简单地存储不能恢复的密码的单向散列是如此容易。
对于丢失的密码,您只需重置其密码,并为他们提供登录时必须更改的临时密码。安全可靠。
人们经常为多个应用程序(特别是非技术用户)使用相同的密码。因此,您的应用程序可能包含人民银行帐户,电子邮件等的密码。
您有责任保护用户的密码,无论您的应用程序多么微不足道。