¿cuál es la mejor manera de saber si la clave de descifrado ingresada es correcta?

1

Estaba buscando una forma de almacenar la clave de cifrado de AES_ENCRYPT y encontré una buena respuesta aquí: ¿Dónde almacenar una clave para cifrado?

Sin embargo, ahora estoy tratando de usar "Escribir la clave de cifrado al iniciar" y guardarla en una cookie de sesión (encriptada) pero no sé cómo decirle al usuario si su clave es correcta o no. .

¿Cómo puedo probar la clave proporcionada por el usuario? En otras palabras, ¿cuál es la mejor manera de saber si la clave de cifrado / descifrado es correcta?

    
pregunta ClearBoth 20.01.2016 - 10:02
fuente

1 respuesta

1
  

Sin embargo, ahora estoy tratando de usar "Escriba la clave de cifrado cuando   iniciar "y guardarla en una cookie de sesión (encriptada) pero no lo hago   saber cómo decirle al usuario si su clave es correcta o no.

¿Hay alguna razón por la que esté almacenando este lado del cliente? La cookie se enviará con cada solicitud, y el cifrado aquí parece incorrecto porque necesitará la clave de almacenamiento para este cifrado adicional en algún lugar. Cualquier persona que tome esta cookie tendrá efectivamente la contraseña de descifrado indefinidamente (la contraseña original cifrada se convierte efectivamente en la contraseña). ¿Podría almacenarse en el lado de la sesión del servidor, la contraseña estaría menos expuesta?

De todos modos, eso fue un hecho a un lado, ahora pasa a tu pregunta principal ... Si puedes almacenar las contraseñas del lado del servidor, puedes usar bcrypt y luego compare la contraseña ingresada con la versión de hash en la entrada de contraseña.

Aparte de eso, asegúrate de utilizar un algoritmo de estiramiento de teclas para convertir las contraseñas más débiles ingresadas por el usuario en claves seguras a través de hashing lento iterativo. La fuerza de bits de las contraseñas de usuario generalmente no es suficiente para protegerse contra un ataque de fuerza bruta de datos encriptados. Utilice PBKDF2.

    
respondido por el SilverlightFox 21.01.2016 - 09:35
fuente

Lea otras preguntas en las etiquetas