我正在使用AES算法对密码进行加密和解密,当PasswordFormat为asp.net成员系统中的Encrypted时。如果格式为Hashed,则会为每个密码生成唯一的盐值,并将其存储在存储密码的表中的一个列中。但是对于加密,我的担忧如下:
1
如果我为每个密码生成独特的IV
、Key
,那么我必须在某个地方维护它们。从安全角度来看,这种方法是否正确?
2
如果我在应用程序配置(web.config)文件中硬编码IV
和Key
,那么当上述任何一对发生更改时,我将不得不担心会发生什么情况?我该如何处理这种情况?
3
请给我你的想法。我会在这里记录它们 :)