Attualmente sto sviluppando un'applicazione django.
Ho bisogno di memorizzare i dati dell'utente. Questi dati non devono essere disponibili a nessun altro utente o amministratore
Ho creato un sistema di account utente dedicato (senza usare dj auth). (Forse potrei modificarlo, ma questo non è l'argomento qui ..)
La password utente viene sottoposta a hash con passlib.
I dati dell'utente vengono crittografati utilizzando AES e la password utente (non con hash: p) come chiave segreta.
Mi chiedo:
-
È sicuro mantenere la password con hash e i dati crittografati, quando la crittografia ha utilizzato questa password come chiave segreta?
-
Che cosa posso fare con AES IV utilizzato per crittografare i dati utente? Generalo quando creo l'utente e tienilo nella tabella utente, accanto alla password con hash?