Al trabajar en una aplicación de sitio web, un amigo y yo preguntamos a un experto en seguridad (trabaja en IBM) cómo manejar el almacenamiento de contraseñas. Después de horas de búsquedas en Google (lo que resultó en horas de exploración de security.stackexchange.com), determiné que tener una base de datos de usuarios con la sal en la base de datos es seguro, siempre que sea una sal por usuario y un algoritmo de hashing lento. / p>
El experto en seguridad dijo que si el DB estaba comprometido, todo estaba comprometido, lo cual es cierto. Sugirió "una forma de cifrado", que ... Realmente no entiendo. ¿El hash no es, por definición, una forma, mientras que el cifrado, por definición, no lo es?
Si alguien pudiera aclarar esto, sería genial.