MVC 5/ASP.Net 4.5 Bezpieczne przechowywanie ciągów połączeń

Question

Tak więc widziałem kilka różnych artykułów dotyczących zabezpieczania ciągów połączeń dla aplikacji ASP.Net, ale wszystkie są dość przestarzałe. Szukałem "Zabezpieczanie połączenia ciąg ASP.Net" "Chroń hasło ciąg znaków SQL Server" i inne odmiany i nie znajduję dokładnie tego, czego szukam.

Używam konkretnie MVC 5. Moje pytanie brzmi: czy istnieje metoda przechowywania mojego hasła poza web.config w sposób bezpieczny, aby moje hasło nie było prostym tekstem, który można łatwo wdrożyć.

Zakładałem, że mogę połączyć się z moją bazą danych i poprzez pewien rodzaj akcji zresetować hasło za pomocą szyfrowania lub mieszania za pomocą wiersza poleceń. Jestem nowy w tym, więc bądź miły. Jakie są moje opcje. Zakładam, że musi istnieć najlepsza praktyka, która nie jest zbyt skomplikowana.

łączę się z SQL Server 2012 przy użyciu MVC 5 (C# w .NET 4.5)

Większość rzeczy znalazłem dnia (2007). Przeszedłem przez coś o użyciu przykładu Rijndael.

Answer 1

Chcesz szyfrowanie sekcji konfiguracji, patrz this article. Jest to natywna opcja rdzenia ASP.NET, więc działa również dla MVC. Uwaga: w przypadku scenariusza farmy internetowej potrzebujesz tego samego klucza na wszystkich maszynach w farmie.

Inną opcją może być umieszczenie czystego ciągu połączenia na pliku machine.config (automatycznie zostanie scalone ze wszystkimi plikami konfiguracyjnymi na tym polu) i ograniczenie dostępu do pliku.