He planeado enviar la contraseña cifrada de la aplicación al usuario. Actualmente estoy usando AES para cifrar las contraseñas de los usuarios.
Quiero enviarles la contraseña cifrada del usuario en el navegador para ayudarles a iniciar sesión automáticamente después de una acción de contraseña olvidada.
¿Es seguro hacer esto?
Respuesta corta: esto es extremadamente peligroso y debe evitarse.
Hay algunas cosas aquí que deben ser cambiadas. En primer lugar, las contraseñas de usuario siempre deben estar hasheadas. Como dije en los comentarios, bcrypt es un mecanismo de hashing común y apropiado.
En segundo lugar, el envío de credenciales a un usuario lo deja abierto al abuso por parte de un atacante; nunca hay una buena razón para enviar esta información al usuario. Cuando un usuario ejerce la función de contraseña olvidada de una aplicación, debe volver a iniciar sesión con la nueva contraseña. Esto elimina su función de inicio de sesión del usuario con su propia contraseña cifrada automáticamente.
Lea otras preguntas en las etiquetas web-browser password-cracking asp.net