Estoy viendo una aplicación web que hace algo que encuentro muy inusual en el manejo de las sesiones de inicio de sesión.
La aplicación borra la contraseña con SHA256 y salt y la guarda en el almacenamiento de la sesión o en el almacenamiento local en el navegador (dependiendo de si el usuario desea permanecer conectado permanentemente). También utiliza un hashing adecuado para las contraseñas nuevamente en el lado del servidor (PBKDF2) y la aplicación se sirve a través de HTTPS.
Este enfoque parece más peligroso que almacenar un valor aleatorio para identificar una sesión de usuario, pero tengo algunos problemas para pensar en formas de atacar esto que en realidad representan un peligro grave. Existe la posibilidad de que alguien que tenga acceso a este valor pueda forzar la contraseña, pero un atacante que llegue a ese punto ya puede causar un daño grave y probablemente también obtenga la contraseña de otras maneras. Para convencer a la gente de que cambie esto, probablemente necesito mejores argumentos que este.
¿Qué desventajas específicas tiene este enfoque en comparación con los enfoques típicos para el almacenamiento de sesiones?