Password salvate (caso d'uso)

Naviga le tue risposte
4

Ho un programma in cui un utente inserisce una password e i dati dell'utente sono memorizzati crittografati usando AES-128. I dati e le password devono essere memorizzati insieme. Sia i dati che la password sono crittografati con una chiave casuale non correlata alla password dell'utente. La password utente viene cancellata usando jasypt.org. (StrongPasswordEncryptor).

  1. Come deve essere crittografata la password casuale?
  2. Si tratta di una potenziale vulnerabilità di sicurezza?
  3. C'è qualcosa in quello che ho descritto che non è corretto o ha bisogno di miglioramenti?
posta user60108 07.02.2013 - 09:08
fonte

1 risposta

6
  1. La password casuale è chiamata chiave, è crittografata (IIRC) con lo stesso algoritmo AES specificato per crittografare il file con. In questo caso è AES-128 con la tua password personale.
  2. Non proprio, in realtà è meglio, perché quando si distrugge l'intestazione contenente la chiave, quindi nessuno sarebbe in grado di decifrare il file / volume crittografato, anche se hanno la tua password. È anche più facile cambiare la password. Se si dovesse utilizzare la propria password per crittografare il file e lo si cambierebbe, sarà necessario prima decrittografare il volume e ricodificarlo con la nuova password. Mentre quando si utilizza una chiave, è sufficiente decrittografare e ricodificare la chiave.
  3. È meglio se chiami la "chiave" della password casuale.
risposta data 07.02.2013 - 10:48
fonte

Leggi altre domande sui tag

Come utilizzare le informazioni da GHDB e FSDB (Google-Dorks)? Perché un risponditore di IKE dovrebbe cambiare "frequentemente" il segreto dei cookie?