Ho pianificato di inviare la password crittografata dall'applicazione all'utente. Attualmente sto usando AES per crittografare le password degli utenti.
Desidero inviare la password crittografata dell'utente nel browser per aiutarli con l'accesso automatico dopo un'azione di password dimenticata.
È sicuro farlo?
Risposta breve: è estremamente pericoloso e deve essere evitato.
Ci sono alcune cose che dovrebbero essere cambiate. Innanzitutto, le password utente devono essere sempre sottoposte a hash. Come ho detto nei commenti, bcrypt è un meccanismo di hashing comune e appropriato.
In secondo luogo, l'invio di credenziali a un utente lascia la possibilità di abuso da parte di un utente malintenzionato: non c'è mai una buona ragione per inviare queste informazioni all'utente. Quando un utente esercita la funzionalità di password dimenticata di un'applicazione, deve accedere nuovamente con la nuova password. Questo rimuove la tua funzionalità di loggare l'utente con la propria password crittografata automaticamente.
Leggi altre domande sui tag asp.net web-browser password-cracking