La membresía de ASP.Net guarda la contraseña cambiada como texto sin formato incluso con el conjunto de contraseña Hashed configurado
Estoy usando ASP.Net SqlMembershipProvider para administrar a mis usuarios. Aquí está mi configuración:
<membership defaultProvider="SqlProvider" userIsOnlineTimeWindow="15">
<providers>
<clear />
<add
name="SqlProvider"
type="System.Web.Security.SqlMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"
connectionStringName="SiteDatabase"
applicationName="WPR"
minRequiredPasswordLength="6"
minRequiredNonalphanumericCharacters="0"
enablePasswordRetrieval="false"
enablePasswordReset="true"
requiresQuestionAndAnswer="false"
requiresUniqueEmail="true"
passwordFormat="Hashed" />
</providers>
</membership>
Mi problema es el siguiente: cuando llamo a Membership.CreateUser para crear nuevos usuarios, la contraseña se almacena en la base de datos en formato hash con un salt, lo cual es bueno. Sin embargo, cuando llamo Membership.ChangePassword en una función de administrador, está almacenando la contraseña en formato de texto plano. Realmente no puedo entender este comportamiento, ya que la configuración dice claramente "Hashed" y crear un nuevo usuario crea una contraseña hash.