È sicuro usare il checksum SHA1 di una password come chiave per SHA-1?

0

Ho un sistema di autenticazione, in cui le password sono memorizzate con bcrypt hash (modulo passaporto nodo).

Il mio server genera una chiave casuale (128byte) all'avvio.

Ogni volta che un utente effettua l'accesso, il server calcola l'SHA-1 della sua password (subito dopo un'autenticazione corretta), lo crittografa utilizzando AES con la chiave generata a caso e lo memorizza temporaneamente in un database, insieme all'altro hash .

Questa somma SHA-1 verrà utilizzata come chiave AES per crittografare / decrittografare le informazioni dell'utente che verranno archiviate nello stesso database.

Questo metodo è sicuro?

    
posta Luis Sieira 28.08.2015 - 00:13
fonte

1 risposta

1

La risposta generale a questo è corretta: se il tuo server sta memorizzando una copia di una chiave usata per crittografare qualcosa in memoria, c'è la possibilità che un exploit gli consenta di essere rubato. (Vedi: heartbleed)

Penso che valga la pena di chiedere in questo caso perché è necessario memorizzare un hash e una versione crittografata della password. Riesco a vedere un sistema in cui accedi a un altro servizio per conto di un utente e ho bisogno della sua password, ma dal momento che menzioni:

and temporarely stores it in a database, along with the other hash

Sospetto che non sia così. Ci sono forti argomenti molto per non usare un algoritmo reversibile per memorizzare le password in un database web, e vorrei capire il tuo ragionamento per volerlo fare.

    
risposta data 28.08.2015 - 05:47
fonte

Leggi altre domande sui tag