现成的ASP.net会员提供商和表格似乎不符合PCI标准。有没有人已经为ASP.net实现了PCI兼容的成员资格提供程序?特别是,我正在研究第8.5节的要求:
8.5.2:在通过非面对面方法对用户请求执行密码重置之前,是否验证了用户身份?
为此我想的是一封重置令牌有效期不超过X小时的电子邮件。默认提供程序只生成一个随机值并通过电子邮件发送(尽管我们可以启用安全问题/答案来满足此要求)。
8.5.5:移除或禁用超过90天的非活动用户帐户?
默认提供程序不支持此操作。在允许登录尝试继续之前,我们可以绑定OnLoggingIn进行一些检查。
8.5.9:使用密码是否至少每90天更改一次?
应该能够检查这个OnLoggedIn。如果上次密码日期> 90,重定向到密码更改表单而不是所需的内容。
8.5.12:个人是否必须提交与他/她使用的最后四个密码不同的新密码?
我不相信默认提供商的成员资格表支持这一点。我们可以添加密码历史记录表,并在每次有人创建新密码时粘贴一个条目。然后可以在ChangePassword控件的OnChangingPassword事件中检查这些。
我完全有能力自己做这件事,但如果已经有了一些东西,我想利用。
答案 0 :(得分:0)
无法找到任何开箱即用的解决方案,因此将遵循James的建议并撰写自己的建议。