¿Hay algún problema de seguridad con el siguiente protocolo de autenticación?
cuando el usuario crea su cuenta, proporciona su nombre de usuario y contraseña. Almaceno el nombre de usuario y blowfishEncrypt (toEncrypt = nombre de usuario, clave = contraseña) (llamémoslo token)
y luego, cuando el usuario desea iniciar sesión, simplemente vuelvo a crear el token (ella debe proporcionar el nombre de usuario y la contraseña) y comparo los dos.
La idea es no tener contraseñas almacenadas en la base de datos. Pero supongo que confío en el hecho de que si conozco el valor original y cifrado, no puedo obtener la contraseña.
¿Hay algo obviamente malo con este enfoque?