2

我有一个使用 Forms Authentication 和 ActiveDirectoryMembershipProvider 的 ASP.Net 4.0 应用程序。它针对在 Windows Server 2008 R2 上运行的 Active Directory 进行身份验证。

我使用 ChangePassword 控件来更改密码。

当用户更改密码时,他可以使用旧密码登录一段时间。我的客户认为这是应用程序的安全问题。有什么方法可以确保旧密码在用户更改后不起作用?

编辑:另外,如果我在网络服务器上执行 iisreset,旧密码将停止工作。密码必须缓存在 Web 应用程序的某处

4

2 回答 2

3

http://support.microsoft.com/kb/906305/en-us - 这适用于 Server 2003 SP1+,但也可能适用于 Server 2008

于 2011-05-10T22:47:01.750 回答
0

我不确定您是否仍然需要解决此问题,但这很可能是您的控制器没有注册表值 OldPasswordAllowedPeriod 的问题,或者是否将其设置为 5 分钟。Phil 指向的文章 (http://support.microsoft.com/kb/906305) 概述了如何实现它。希望这可以帮助

于 2011-05-18T14:01:22.713 回答