Estoy escribiendo una pequeña aplicación web que demuestra la autenticación de 2 factores. Estoy usando el protocolo TOTP como se describe en RFC 6238 . En nuestro esquema, estamos almacenando, además de un hash de contraseña cifrado en b para cada usuario, una clave secreta, que se utiliza para validar códigos de un solo uso.
Estoy usando postgreSQL para un backend de base de datos. Supongamos que mi base de datos está comprometida sin mi conocimiento. Todas las contraseñas son seguras, ya que las estoy procesando y cifrando: no hay un ataque fácil que revele todas las contraseñas, salvo las brutas que obligan a cada una.
¿Hay alguna manera de que pueda guardar de forma segura la clave para el TOTP? No puedo controlarlo, necesito su texto simple para la validación de OTP.
¿Hay alguna forma de almacenar esta clave de forma segura?