Parece que los inicios de sesión persistentes son técnicamente lo mismo que almacenar una contraseña en el cliente y, por lo tanto, deben evitarse siempre que sea posible. Sin embargo, los usuarios de la vida real no estarán contentos con tener que ingresar su contraseña cada vez que quieran acceder a un sitio que visitan con frecuencia.
Dados los siguientes supuestos:
- Todo el tráfico se realiza a través de SSL, por lo que se requiere acceso físico al cliente para obtener cualquier token de inicio de sesión almacenado
- Las contraseñas se procesan mediante BCrypt / PBKDF2 antes de ser almacenadas
¿Cuáles son las implicaciones de seguridad, si las hay, de tomar el hash de la contraseña, volver a utilizar el hash SHA512 y usar el resultado para el token de inicio de sesión persistente? La verificación del token de inicio de sesión se haría comparando el token con un hash del hash de la contraseña.
La razón por la que pregunto esto es porque estoy tratando de evitar almacenar un token separado en la base de datos para el inicio de sesión persistente.