Sono curioso di convalidare le password degli utenti (per gli accessi e simili). Vedo che è normale usare un hash salato per memorizzare (in sicurezza) le password degli utenti con l'intento di convalidare i login degli utenti.
La mia domanda:
Utilizzare le chiavi private protette da passphrase sarebbe un metodo di sicurezza equivalente a farlo?
Possibile implementazione:
Quando un utente crea un account sulla tua piattaforma ti darebbe la password che intende usare. Il server prenderebbe quindi la password e genererà una nuova chiave privata (in base alla scelta di entropia) e utilizzerà la password dell'utente come passphrase per "proteggere" la chiave privata. Dovresti quindi memorizzare la chiave privata protetta da passphrase abbinata al nome utente in modo che quando qualcuno cerca di accedere con un nome utente (registrato), puoi cercare la chiave privata e provare a sbloccarla con la password fornita.