Imagina la siguiente situación. Estamos haciendo una aplicación web que debería ser realmente segura
Ahora las cuentas / usuarios no son agregados directamente por nosotros, pero reciben una carta con un código de acceso. Obtenemos un archivo de vez en cuando que contiene un hash SHA-1 sin sal de este código de registro y otra información realmente básica.
Teniendo en cuenta que SHA-1 se considera hoy en día como una responsabilidad, y el software que genera estos hashes no está bajo nuestro control (también es probable que el software antiguo no sea capaz de hashes mejores)
¿Sería una solución el hash del hash recibido usando Bcrypt? Esto debería solucionar el problema de que sea inseguro / demasiado rápido si tengo razón. ¿También debo añadir un pimiento?
¿Hay otros problemas que pueda haber pasado por alto? ¿O deberíamos rechazar el problema y hacer que reparen su software para mejorar las funciones de hash?
Aclaración:
Nuestro cliente es un empleado de una empresa y necesita aprobación para este proyecto.
El tercero hizo un sistema para la compañía de nuestro cliente que maneja información confidencial sobre los clientes de la compañía de nuestros clientes. Quieren dar a algunos de sus clientes la posibilidad de iniciar sesión en nuestra aplicación, esto tiene que pasar por su sistema porque eso es lo que saben los empleados de nuestro cliente y si tuvieran que agregar usuarios manualmente en nuestra aplicación, nuestro cliente no obtendría la aprobación. .
También si hay alguna fuga o incumplimiento (aunque técnicamente tenemos acceso 0 a cualquier información confidencial, incluso en nuestra propia aplicación no hay ningún nombre o información de identificación sobre el usuario), esto podría atraer una atención negativa no deseada que lastimar tanto al cliente como a nosotros.
El problema es que el sistema que hizo el tercero solo puede hacer Hashes SHA-1 sin sal. Así que mi pregunta es tratar de ver si podemos solucionar esto. O si nos vemos obligados a decirle a mi cliente que obligue al tercero a implementar un mejor sistema de hash, que tal vez solo respondan con "no", no queremos. O podría costar mucho más dinero.
Espero haberlo explicado un poco mejor y seguir siendo vago. :)