私は現在、ASP.NET で古い (1990 年代後半) Web アプリケーションを書き直すプロジェクトに取り組んでいます。このアプリケーションの一部は、サイト上のいくつかのページにアクセスするために使用されるユーザー認証システムです。ユーザー資格情報 (ユーザー名、パスワードなど) は、データベース テーブルに格納されます。
これはすべて非常に標準的ですが、このデータベースを操作しているときに、恐ろしいことに、このデータがプレーンテキストで保存されていることがわかりました。
この安全でないシステムのセキュリティを向上させる最善の方法は何かと考えています。平文データを取得し、暗号化 (またはハッシュ) して再挿入する簡単な方法はありますか? .NET フォーム認証を使用してこれを容易にすることはできますか? また、新しいアプリでのユーザー認証に適したオプションですか?
ありがとう!
If you are on a Windows network, I'd use Windows Auth, which uses Active Directory. That would allow your Systems Admin group/person to administer who has access to the application.
Forms Auth is a good idea if Windows Auth won't work for you.
If they won't give you the time to implement either of the auth frameworks, I'd definitely encrypt the passwords on the database. Write a Console app and encrypt the passwords using information found here: Encrypt and decrypt a string
Then you'd need to modify your existing app to check encrypted passwords instead of plaintext ones.