Una API web necesita almacenar una 'clave' para la autenticación, de manera muy similar a una contraseña, pero con 128 caracteres. Mi preocupación es que el hash SHA1 para la clave tiene menos entropía que la propia clave (40 caracteres frente a 128 caracteres).
Entiendo que el hash es necesario en caso de que la base de datos esté comprometida, pero en este caso desde el exterior, suponiendo que no haya una violación de la base de datos esta configuración es más susceptible a la fuerza bruta que si fuera a ¿Almacenar y emparejar la clave no dañada?
Nota: esta configuración horrible no reemplaza la configuración de la contraseña real. Alguien que "llama a los disparos" quiere una segunda contraseña para acceder a una determinada función, y quiere que sea larga y que se la llame "clave". Después de codificarlo, tendré la oportunidad de demostrar cuán tonto es esto. Mi pregunta aquí solo se refiere a la susceptibilidad de que una cadena de 128 caracteres tenga fuerza bruta en comparación con su hash salado de 40 caracteres como fuerza brutal.