¿Es seguro almacenar el código de acceso seguro del usuario en la base de datos con forma encriptada al crear la billetera de bitcoin?

0

Me gustaría crear una billetera de Bitcoin.

Parte del proceso es almacenar las claves públicas y privadas en forma cifrada en la base de datos del servidor.

Todas las claves que estoy almacenando están encriptadas usando el código de acceso del usuario.

1) ¿Es seguro almacenar el código de acceso del usuario en forma cifrada en la base de datos del servidor? (Pensando que el Usuario podría olvidar su contraseña, por lo que considera una opción de recuperación)

2) ¿Existe algún tipo de posibilidad futura de meterme en problemas si ocurre algún tipo de ataque o por la acción de algún intruso / administrador (la peor posibilidad)? La clave es la revelación al atacante. ¿Cuál será el acceso y la apertura de todas las claves de pub / priv desde la base de datos de ese usuario específico? De esta manera no puedo dar la opción de olvidar el código de acceso al usuario.

Entonces, considerando ambas opciones ¿Debo almacenar el código de acceso del usuario o no?

¿Cuál es la mejor práctica para implementar esta función de seguridad en la billetera de Bitcoin?

Actualizar

Esta pregunta no es un duplicado de ¿Cómo hash seguro las contraseñas?

a medida que la pregunta revela formas de hacer hash de la contraseña y aquí, lo que estoy preguntando es encontrar una mejor práctica para descifrar código de acceso y su impacto relacionado en el sistema.

Por ej. ¿Qué pasa si el usuario quiere recuperar su contraseña olvidada?

    
pregunta Sagar Shah 19.10.2018 - 16:41
fuente

1 respuesta

1

1) No. Si tiene una manera de omitir la contraseña del usuario, entonces tiene una forma en su billetera. Por lo tanto, si un usuario olvida su contraseña, perderá el acceso a su dinero (y también a cualquier atacante). Ese es el punto de una contraseña.

2) Sí. Eso es más probable de lo que piensas.

La mejor práctica es que los usuarios utilicen una billetera fuera de línea que no cargue sus datos en un servidor.

Además, no olvide hacer una copia de seguridad (y probar las copias de seguridad) de los datos del servidor, ya que también es el dinero de los usuarios que debe reembolsar en caso de falla de hardware o desastre natural. Antes de comenzar a desarrollar este sistema (software y hardware), debe realizar una evaluación de riesgos (de seguridad) y hablar con su aseguradora. Hazlo de nuevo antes de lanzar tu servicio. También puede haber obligaciones legales relacionadas con el manejo de dinero y la información confidencial de los usuarios, dependiendo de dónde viva y a quién le proporcionará este servicio.

Tenga cuidado para no rodar su propia criptografía . Dependiendo de lo que quiere decir con "código de acceso", este esquema puede ser inherentemente inseguro.

    
respondido por el A. Hersean 22.10.2018 - 10:48
fuente

Lea otras preguntas en las etiquetas