Ho una funzione che restituisce chiavi casuali non gestibili con i seguenti caratteri: a-z A-Z 0-9.
Ho impostato la lunghezza della chiave su 10 e la sto usando per i miei token modulo per prevenire CRSF e userò la stessa funzione anche per generare le chiavi di conferma dell'email.
La mia domanda è se sarà abbastanza sicura da usare?
I token modulo verranno associati a una sessione utente e le chiavi di conferma dell'email verranno archiviate fino a 24 ore prima della distruzione. Oltre a questo non terrò un registro di loro.
Ho notato che ci sono molti siti che usano chiavi di conferma estremamente lunghe con una lunghezza di circa 30-40 caratteri. Ai miei occhi sembra eccessivo.