Sembra che gli accessi persistenti siano tecnicamente equivalenti alla memorizzazione di una password sul client e, pertanto, dovrebbero essere evitati quando possibile. Tuttavia, gli utenti della vita reale non sarebbero contenti di dover inserire la propria password ogni volta che volevano accedere a un sito che visitano frequentemente.
Considerate le seguenti ipotesi:
- Tutto il traffico è su SSL, quindi è richiesto l'accesso fisico al client per ottenere qualsiasi token di accesso memorizzato
- Le password vengono sottoposte a hash tramite BCrypt / PBKDF2 prima di essere memorizzate
Quali sono le implicazioni sulla sicurezza, se ce ne sono, di prendere l'hash della password, eseguirne nuovamente l'hashing utilizzando SHA512 salato e utilizzare il risultato per il token di accesso persistente? La verifica del token di accesso sarebbe confrontando il token con un hash dell'hash della password.
Il motivo per cui sto chiedendo questo è che sto cercando di evitare l'archiviazione di un token separato nel database per il login persistente.