Contraseñas guardadas (caso de uso)

4

Tengo un programa en el que un usuario ingresa una contraseña y los datos del usuario se almacenan cifrados mediante AES-128. Los datos y contraseñas deben almacenarse juntos. Tanto los datos como la contraseña están cifrados con una clave aleatoria que no está relacionada con la contraseña del usuario. La contraseña del usuario se escribe con jasypt.org. (StrongPasswordEncryptor).

  1. ¿Cómo se debe cifrar la contraseña aleatoria?
  2. ¿Se trata de una vulnerabilidad de seguridad potencial?
  3. ¿Hay algo en lo que he descrito que sea incorrecto o que deba mejorarse?
pregunta user60108 07.02.2013 - 09:08
fuente

1 respuesta

6
  1. La contraseña aleatoria se llama clave, está cifrada (IIRC) con el mismo algoritmo AES que especificó para cifrar el archivo. En este caso es AES-128 con su contraseña personal.
  2. No realmente, en realidad es mejor, porque cuando destruyes el encabezado que contiene la clave, nadie podrá descifrar el archivo / volumen cifrado, incluso si tienen tu contraseña. También es más fácil cambiar la contraseña. Si usaría su contraseña para cifrar el archivo y la cambiaría, primero tendría que descifrar el volumen y volver a cifrarlo con la nueva contraseña. Mientras que al usar una clave, solo necesitas descifrar y volver a cifrar la clave.
  3. Es mejor si llama a la contraseña aleatoria 'clave'.
respondido por el Lucas Kauffman 07.02.2013 - 10:48
fuente

Lea otras preguntas en las etiquetas