Задать вопрос
north_leshiy
@north_leshiy
Руководитель направления разработки
шифрование

Хранение паролей в базе, корректна и безопасна ли логика шифрования?

Для клиента нужна система хранения паролей к разным проектам, причем к каждому паролю может быть один доступ у разных пользователей (это необходимое, неоспариваемое условие).
На случай кражи базы или файлов проекта - ключ шифрования нигде не должен быть засвечен.

Что если:
Шифруем пароли одним мастер ключем.
У каждого юзверя системы есть свой ключ, которым шифруется мастер. Соотственно каждый юзверь для доступа к конечному паролю вводит свой персональный ключ -> система расшифровывает мастер -> расшифровывает пароль -> выдает пользователю системы. Все это обвешено логикой прав доступа на уровне системы.

Укажите на недостатки логики, в защите данных я профан)
При таком подходе я вижу проблему если хранить сохранять персональный ключ в сессии
  • Вопрос задан
  • 315 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 1
@vilgeforce
Раздолбай и программист
Еще вам придется для каждого юзера хранить зашифрованный мастер. Если мастер в открытом виде будет в скриптах - заливка шелла или чтение файлов через mysqli может привести к печальным результатам...
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Декодер/приемник AES потока
СОФИТ
от 100 000 ₽
Системный Аналитик 1С
Wanted. Москва
До 260 000 ₽
Ведущий программист 1С
Автомакон
от 250 000 до 400 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Нарисовать инфографику в 3-х вариантах
23 нояб. 2024, в 23:03
1 руб./за проект
Выполнить анализ данных
23 нояб. 2024, в 22:38
2500 руб./за проект
Дизайн главной страницы в figma
23 нояб. 2024, в 22:03
3000 руб./за проект
Ещё заказы