asp.net - ASP.Net 的 PCI 兼容成员(member)提供商？

Question

现成的 ASP.net 成员(member)提供程序和表似乎不符合 PCI 标准。是否有人已经为 ASP.net 实现了符合 PCI 标准的成员(member)提供程序？我特别关注第 8.5 节的要求:

• 8.5.2:对于通过非面对面方式提出的用户请求执行密码重置之前是否验证了用户身份？

  为此，我正在考虑一封带有重置 token 的电子邮件，其有效期不超过 X 小时。默认提供程序只是生成一个随机值并通过电子邮件发送(尽管我们可以启用安全问题/答案来满足此要求)。

• 8.5.5:超过 90 天的不活动用户帐户是否会被删除或禁用？

  默认提供商不支持此操作。我们可以在允许登录尝试继续之前结合 OnLoggingIn 进行一些检查。

• 8.5.9:使用密码是否至少每 90 天更改一次？

  应该能够检查这个OnLoggedIn。如果上次密码日期 > 90，则重定向到密码更改表单而不是所需的内容。

• 8.5.12:个人必须提交与他或她最近使用的四个密码不同的新密码吗？

  我不相信默认提供者的成员资格表支持这一点。我们可以添加一个密码历史表，并在每次有人创建新密码时粘贴一个条目。然后可以在 ChangePassword 控件的 OnChangingPassword 事件中检查这些内容。

我自己完全有能力做到这一点，但如果已经有一些东西，我想利用。

Answer 1

找不到任何现成的解决方案，因此将遵循 James 的建议并编写自己的解决方案。