Защита паролей и данных пользователей¶
Для многих приложений самыми конфиденциальными хранимыми данными являются данные пользователей, такие как адрес электронной почты, пароли, адресные данные или платёжная информация.
Здесь самый простой способ защитить себя — не хранить ненужные данные. Если вам не нужен адрес пользователя — не спрашивайте его. Аналогично, если вы используете стороннюю службу идетификации, не придётся задумываться о том, как защитить личные данные пользователей.
Если же необходимо хранить данные пользователя в приложении, или создать собственный поставщик идентификационной информации, то нужно обязательно следовать лучшим практикам работы с пользовательской информацией. Шаблоны проектов, использующие ASP.NET Identity, следуют большинству из этих практик.
В целом, среди прочих рекомендаций можно упомянуть следующие:
- никогда не храните пароли напрямую, используйте только криптостойкие хэши;
- не храните больше данных, чем нужно. Никогда не храните данные кредитной карты;
- разрешите пользователям использовать двухфакторную аутентификацию (2FA) для входа;
- пометьте cookie-файлы аутентификации как http (чтобы их нельзя было прочитать из JavaScript) и “безопасно”, чтобы они отправлялись через https-соединение;
- не показывайте, зарегистрирован ли пользователь.
Дата создания : 24 октября 2022 г.