Authentification de l'utilisateur en ASP.NET avec des données utilisateur qui ne sont même pas lisibles par l'administrateur ou l'homme du milieu

Question

Imaginez que vous ayez un site web basé sur ASP.NET pour lequel les utilisateurs doivent s'authentifier afin d'y accéder. Les données de l'utilisateur (telles que le nom d'utilisateur, le mot de passe et d'autres informations pertinentes pour le site web) sont stockées dans une base de données Microsoft Sql.

Je sais qu'il est possible d'écrire un fournisseur d'adhésion personnalisé pour créer une méthode d'authentification propre.

Cependant, quelle est la meilleure façon de

• s'assurer que le nom d'utilisateur et le mot de passe ne peuvent pas être interceptés en écoutant le trafic réseau entre le client et le serveur
• stocker les données de manière à ce que seul l'utilisateur lui-même puisse y accéder et qu'aucun administrateur ne puisse voir ces informations

S'il existe un tutoriel, un howto, un screencast ou quoi que ce soit d'autre que vous puissiez m'indiquer ou si vous avez ne serait-ce qu'une explication simple, ce serait génial !

Merci, Chris.

Answer 1

Pour sécuriser les noms d'utilisateur et les mots de passe sur le réseau, demandez à vos utilisateurs de se connecter via SSL .

Pour s'assurer que le mot de passe ne peut pas être lu dans la base de données, hacher les mots de passe .

Answer 2

Comme nous l'avons déjà mentionné, il faut hacher les mots de passe dans la base de données et, pour se prémunir contre les attaques de Mitm, il faut toujours essayer d'utiliser https://.