c# – 这个ASP.Net身份验证模型的安全性如何？

用户注册

>用户输入3个数据点(SSN,Lname和DOB).如果在我们的系统中找到该组合,则会设置会话变量并导航到下一页.
>如果设置了#1的会话变量,请继续并询问用户名,密码,安全q& A等.使用Linq保存数据并在实际保存事件之前验证会话变量.使用salt和sha对PWD和安全性答案进行哈希处理. (使用验证控件和文本框限制来限制输入)

重设密码

>与注册中的#1相同,但包括用户名.如果确定,请设置第1步会话变量.
>如果设置了第1步会话变量,请提出最高3倍的安全问题. Salt / hash并验证数据库salt / hash.如果匹配,则设置步骤2会话变量.(使用验证控件和文本框限制来限制输入)
>检查第2步会话变量.请求新的密码.哈希/盐并使用LINQ保存.

登录(使用验证控件和文本框限制来限制输入)

>收集用户名和密码.与用户名匹配的HASH / salt密码,查看密码是否与hash匹配.如果没问题,请设置用户对象并传递到默认页面.
>所有页面都从masterpage继承. Masterpage具有验证用户对象是否设置为有效实例的代码.如果没有有效的用户对象,则调用注销,重定向到主登录页面.

有点罗嗦,但想要清楚.

我在这里错过了什么吗？我想使用MS的表单auth,但决定自己滚动,因为我有一些问题,我想用FBA完成一些自定义的东西.通过使用会话变量作为步骤完成标记,这是否足以防止会话窃取或书签？有一个更好的方法吗？

请问好吗？