ASP.NET のアプリケーション レベルと SQL CLR のデータベース レベルでユーザー パスワードをハッシュすることを選択した場合、セキュリティ上の懸念はありますか? 私はそれが両方の方法で行われたのを見ました。
私の考えでは、アプリケーション レベルでは、パスワードはブラウザから Web サーバーに 1 回だけ送信されます。データベースの実装では、ハッシュのためにパスワードがデータベースに 2 回送信されます。
後者の場合、SQL Server プロファイラーを実行しているユーザーは、プロシージャまたは関数に送信されたパスワードをプレーンテキストで見ることができます。私は SQL Server の監査にあまり詳しくありませんが、同様の情報を取得できる機能があれば、同様にリスクが生じるでしょう。