Ho fatto qualche ricerca sull'hash password / salting. Ho capito che il sale non ha bisogno di essere segreto. Ma non ho letto nulla sull'hash che deve essere segreto.
Quanto oscurato deve essere il vero hash?
Supponiamo di avere questa semplice tabella di database:
utente
- nome utente
- sale
- hash
Scenario
Ho un database online ben protetto / nascosto. Posso memorizzare il sale e l'hash senza alcuna crittografia aggiuntiva, ecc ... Ma cosa succede se alcuni utenti di questo database sono archiviati in un database SQLite Android locale per l'accesso offline. La tabella ha lo stesso aspetto, ma ora il sale e l'hash sono protetti solo da un dispositivo non rootato ( link ). Il database SQLite reale può essere letto facilmente se qualcuno ha fatto una copia del file nascosto. È ancora sicuro archiviare il sale / hash dell'utente in questo database SQLite così com'è (ogni utente ha un sale diverso)?