Quindi, quando un utente si registra per creare un account, è necessario selezionare alcune domande e inserire le risposte di sicurezza. Una volta che lo fanno, possono andare avanti verso una pagina di revisione che mostra loro le domande di sicurezza ma maschera le risposte (ho messo una risposta fittizia mascherata nella pagina di revisione). Ora hanno la possibilità di modificare le loro informazioni prima di creare un account.
Quindi, se l'utente decide di tornare indietro e modificare le domande e le risposte sulla sicurezza, mi chiedo se dovrei mostrare le risposte dal server al client in testo semplice (il client vuole che le risposte vengano digitate come testo normale) o dovrei semplicemente cancellare tutto il campo delle risposte (ma mantenere la selezione delle domande) e chiedere all'utente di digitare nuovamente tutte le risposte per procedere?
Qual è l'approccio migliore dal punto di vista della sicurezza?
Al momento eseguirò l'hashing e aggiungerò un salino alle risposte di sicurezza da salvare come tali nel database.