¿Cuál es la mejor práctica para almacenar detalles de conexión de base de datos en .NET?

Question

Esto podría ser un duplicado (question) pero estoy buscando específicamente las mejores prácticas de .NET.

Cómo almacenar cadenas de conexión de base de datos, nombre de usuario y contraseña, etc. de forma segura? ¿Es una app.config encriptada la mejor en la mayoría de los casos?

También me gustaría poder establecer la contraseña en el archivo de configuración y luego cifrarla tan pronto como se inicie la aplicación. (No estoy pidiendo una solución ya que he resuelto esto antes, solo estoy buscando la (s) mejor (s) práctica (s)).

También estoy interesado en soluciones alternativas con las que tenga buenas experiencias.

Answer 1

Creo que la mejor práctica es usar seguridad integrada si es posible, por dos razones ... Es la solución más fácil de administrar y es la solución más fácil para hacerlo bien.

Si por alguna razón no puede usar la seguridad integrada y tiene que usar el nombre de usuario y la contraseña, cifrelos usando algo como el Administrador de configuración Enterprise Library para encriptar secciones de su web.config.

Answer 2

hay varias cosas que hay que saber acerca de la protección de las cadenas de conexión: http://msdn.microsoft.com/en-us/library/89211k9b.aspx

En mi opinión, la mejor manera de almacenarlos (la que combina la flexibilidad y la seguridad) es "Cifrado de secciones de archivo de configuración por medio Protegidas Configuración ": http://msdn.microsoft.com/en-us/library/ms254494.aspx

Answer 3

Eso sería web.config. Puede cifrar la cadena de conexión si la gravedad es una preocupación.

Answer 4

Algo que he encontrado para ser útil últimamente, es el servicio de inicio de sesión único de Microsoft. Si necesita utilizar la Autenticación SQL, puede almacenar las credenciales reales en una base de datos cifrada.