È sicuro conservare il codice di accesso protetto dell'utente nel database con forma crittografata durante la creazione del portafoglio bitcoin?

0

Vorrei creare un portafoglio Bitcoin.

Parte del processo consiste nel memorizzare chiavi pubbliche e private in forma crittografata nel database del server.

Tutte le chiavi che sto memorizzando sono crittografate utilizzando il codice di accesso dell'utente

1) È sicuro conservare il codice d'accesso dell'utente in forma crittografata nel database del server. (Pensando che l'Utente possa dimenticare il suo passcode, considerando quindi un'opzione di recupero)

2) C'è qualche tipo di possibilità futura di mettermi nei guai se si verifica un qualche tipo di attacco o un'azione di qualche intruso / amministratore stesso (peggiore possibilità) - la chiave rivelata all'attaccante che guiderà l'accesso e aprirà tutte le chiavi pub / priv dal database di quell'utente specifico? In questo modo non posso dimenticare l'opzione pass-code all'utente.

Pertanto, considerando entrambe le opzioni, conservo il pass-code dell'utente o no?

Qual è la migliore pratica per implementare questa funzionalità di sicurezza nel portafoglio bitcoin?

Aggiorna

Questa domanda non è duplicata di Come password di hash sicure?

come la domanda rivela modi di fare l'hashing della password e qui quello che sto chiedendo è di trovare una best practice per decifrare codice di accesso e il relativo impatto sul sistema.

Ad es. Cosa succede se l'utente vuole recuperare la sua password dimenticata?

    
posta Sagar Shah 19.10.2018 - 16:41
fonte

1 risposta

1

1) No. Se hai un modo per aggirare la password dell'utente, allora hai un modo nel loro portafoglio. Pertanto, se un utente dimentica la sua password, perde l'accesso al proprio denaro (e anche a qualsiasi aggressore). Questo è il punto di una password.

2) Sì. È più probabile di quanto tu possa pensare.

La best practice è che gli utenti utilizzino un portafoglio offline che non carichi i propri dati su un server.

Inoltre, non dimenticare di eseguire il backup (e testare i backup) dei dati del server, perché sono anche i soldi dei tuoi utenti che devi rimborsare in caso di guasto dell'hardware o di calamità naturali. Prima di iniziare a sviluppare questo sistema (software e hardware), è necessario effettuare una valutazione dei rischi (di sicurezza) e discutere con il proprio assicuratore. Fallo di nuovo prima di rilasciare il servizio. Potrebbero anche esserci obblighi legali relativi alla gestione del denaro e delle informazioni sensibili degli utenti, a seconda di dove si vive ea chi fornire questo servizio.

Fai attenzione a non pubblicare la tua crittografia . A seconda di cosa intendi per "codice di accesso", questo schema può essere intrinsecamente insicuro.

    
risposta data 22.10.2018 - 10:48
fonte

Leggi altre domande sui tag