问ASP.NET的登录类是否足够安全？

EN

FormsAuthentication被广泛使用，如果配置得当，它是相对安全的。

确保添加您的MachineKey (您可以在此处生成一个http://aspnetresources.com/tools/machineKey，它与MSDN站点中提供的链接相同)

如果cookies是系统的安全部分，请考虑将会话超时设置得较低(10/15分钟与security).

• Ensure相比)。您的成员资格提供程序设置为良好的散列算法，即<membership userIsOnlineTimeWindow="15" hashAlgorithmType="SHA512">

• and将提供程序本身设置为散列而不是加密passwordFormat="Hashed"

• and确保您的RoleManager (如果使用角色)和表单身份验证部分包含cookies的配置；cookieProtection="All"

其中的密码重置系统是一个笑话；我不会自己复制和粘贴，但您可以在https://stackoverflow.com/questions/10213124/combine-passwordrecovery-and-changepassword-control/10237107#10237107中看到重置密码的更好方法

这基本上是一个很好的开始；您还可以查看Troy Hunts会员安全指南http://www.troyhunt.com/2010/07/owasp-top-10-for-net-developers-part-3.html

Oh和总是收集用户信息/处理登录/以及基于HTTPS的注册()。并尝试使用某种类型的验证令牌( MVC https://www.google.co.uk/search?sourceid=chrome&ie=UTF-8&q=msdn+AntiForgeryToken中有一个)，这减少了CSRF的攻击场景，基本上是暴力强制。

是的，它们足够安全..这些功能可以为您提供广泛的功能，如根据参与者限制网页浏览量和许多其他功能。