Ho una richiesta di funzionalità per connettere la mia web-app PHP al server di posta degli utenti. Di solito mi sono allontanato da questo tipo di lavoro perché significherebbe memorizzare le password di posta degli utenti.
La mia domanda: è sicuro archiviare una password email di terzi, se la password e-mail è crittografata usando la funzionalità openssl di PHP, di cui la chiave privata sarà una versione hash della password di accesso degli utenti all'applicazione PHP. (Le password di accesso degli utenti verranno sottoposte a hash con un algoritmo diverso a fini di autenticazione.) La password in chiaro all'app Web non verrà memorizzata nel server.
Al momento dell'accesso dell'utente, possiamo utilizzare la password in testo semplice per accedere alla chiave privata alla password e-mail crittografata degli utenti. Questo potrebbe quindi essere crittografato usando openSSL, con una chiave del server aggiornata quotidianamente.
Il risultato (o parte di esso) di tale crittografia potrebbe essere memorizzato come cookie nel browser degli utenti, accessibile solo ogni volta che l'utente carica una pagina nell'app Web.
Questo metodo è efficace per garantire la sicurezza delle password e-mail di terze parti?