¿Está bien almacenar las claves beta de un solo uso de texto sin formato?

2

¿Está bien almacenar claves beta de un solo uso en texto sin formato en la base de datos? Estaré pre-generando y almacenando alrededor de 2M claves. Las claves se transfieren para que las personas puedan registrarse con él, en lugar de permitir que las personas aleatorias se registren.

Lo único malo es que si alguien pudiera robar todas las claves beta con un volcado de datos, si eso sucediera. La protección temporal podría ser mediante la aplicación de hash usando bcrypt, y luego comparar la entrada de hash del usuario con el hash de la clave (como una contraseña), pero luego generar previamente las claves de 2M y hash, todo sería demasiado lento.

    
pregunta eeiso 20.02.2015 - 06:35
fuente

1 respuesta

1

En tu pregunta, has identificado una amenaza potencial. Si piensa que esta amenaza es real y tendría un impacto suficientemente negativo en sus operaciones si fuera explotada, debería tomar medidas adicionales como sugiere en su pregunta.

Si está diciendo que las claves en este caso son identificadores únicos que no desea que se expongan, es posible que necesite emplear hashing y cifrado según sea necesario. Si necesita almacenar las claves y necesita usar la misma base de datos para asignarlas, no puede modificarlas ya que no tendría forma de revertirlas para entregarlas. Tendrías que cifrarlos.

¿El beneficio de la generación previa es mayor que el riesgo de tenerlos comprometidos y el costo de crear claves sobre la marcha? Puede tener más sentido crearlos a pedido y buscar soluciones para los tokens de verificación de correo electrónico y cómo se administran, ya que parece que está haciendo algo similar.

    
respondido por el Eric G 20.02.2015 - 22:23
fuente

Lea otras preguntas en las etiquetas