Voglio memorizzare alcuni dati in modo che l'unico a poter accedere sia l'utente stesso. Ecco la mia idea: quando l'utente si registra, la sua password verrà sottoposta a hash in SHA256
(quindi verrà adattata come una chiave AES) e crittograferà i dati utilizzando come chiave AES 256
.
Se è così, posso rinunciare alla sezione password nel DB, non avrò bisogno di hash la password, salare, ecc. - Posso solo provare a decodificare i dati - è successo, la password è corretta.
Quindi ciò che è considerato più sicuro? one-way-hash utilizzando password_hash
di PHP con un strong salt, o semplicemente hash la password usando SHA256
e usalo come chiave AES ( che non sta crittografando la password stessa?
Dopotutto, ho letto che AES 256 è abbastanza sicuro da crittografare informazioni TOP SECRET, quindi sono abbastanza sicuro che sia difficile capire quale sia la chiave. E anche se riusciranno in qualche modo a tenere premuto il tasto, dovranno comunque forzare lo SHA256 per accedere alla password.
Grazie!