Supongamos que quiero cifrar algún texto plano y solo puedo usar un modo AES no autenticado como CBC.
Una forma de agregar autenticación es cifrar y luego MAC, donde las dos claves diferentes para AES y MAC se derivan de la misma frase de contraseña usando una función de derivación de clave.
¿Lo anterior es más seguro que cifrar el texto plano junto con su hash? Al descifrar, el hash se separa del texto plano y se verifica. Por lo tanto, si se manipula el texto cifrado, la verificación de hash debe fallar (siempre que se utilice un hash criptográfico adecuado).