Должны ли мы хэшировать токены сброса пароля и хранить их в базе данных?

Question

Должны ли мы хэшировать токены сброса пароля и хранить их в базе данных?

Я выполняю механизм сброса пароля для моего приложения ASP.NET.

и мне интересно, потому что, если кто-то получит доступ к моей базе данных, он может легко прочитать токены сброса пароля и изменить пароли пользователей, не должен ли я хэшировать "токены сброса пароля" и затем сохранить их в своей базе данных?

Примечание: я говорю о "токенах сброса пароля", а не о "паролях"

1

c# asp.net password-protection

Источник

user7734384 05 апр '18 в 22:30

3 ответа

Решение

Если "токен сброса пароля" позволяет кому-либо сбросить пароль с другой текстовой информацией, то он фактически совпадает с паролем и должен рассматриваться как таковой.

Заставьте их истечь на несколько минут или часов, и относитесь к ним как к секретам, потому что они есть.

6

Источник

user272287 05 апр '18 в 22:36

Я рекомендую это делать и считаю хорошей практикой это делать.

У вас уже должна быть инфраструктура, чтобы сделать это довольно легко, как вы должны делать это уже с паролями.

Выгоды:

Дешево внедрить (существующая инфраструктура уже должна быть на месте)
Более безопасный (меньше места для проблем безопасности)
Спокойствие духа

1

Источник

user2658729 05 апр '18 в 23:48

Другие вопросы по тегам c# asp.net password-protection

user9295669 05 апр '18 в 22:35 2018-04-05 22:35 · Accepted Answer · 2018-04-05 22:35

Да, я бы порекомендовал вам хешировать сброшенные токены и просто сохранять их в базе данных.

Также после их использования удаление записи также будет хорошей практикой. Вы можете использовать AesCryptoServiceProvider или другого поставщика криптографии для выполнения этой работы. Есть много примеров кода о том, как их использовать.