私は、自動化/ユーザーシステムを開発したいと思います。元のユーザーのパスワードを回復できるようにしたいのですが、セキュリティの観点からパスワードとハッシュを暗号化するのは何ですか?暗号化とハッシュ化のパスワード
もちろん、アプリケーションは公開鍵だけを使用し、暗号化された文字列を公開鍵と比較するだけで自動化が実行されます。
秘密鍵は双方向で使用することができます:
- 私は特別な手動パスワード回復動作のための私のオフラインデバイス上の秘密鍵を保持します。
- 秘密鍵はアプリケーション内にありますが、パスワードで暗号化されています。
秘密鍵に誰もアクセスできないと考えると、パスワードをハッシュするのではなく、これらの実装の選択肢のセキュリティの弱点は何ですか?
ハッカーがアプリケーションサーバーをハックしてプライベートキーを復号化するためにパスワードを挿入するのを待つ可能性がありますが、この場合、ハッカーは秘密鍵もちろん、私は主に理解するであろう何、暗号化を使用してハッシュを使用して同様に安全である場合である(仮定:復号化(待つだけのユーザーとしてときにログインし、他の人にパスワードを送信する...)
おかげ
EDITクラッカーは秘密鍵を取得できません)。
*「必要な場合は元のユーザーのパスワードを回復できるようにしたい」*いいえ、必要ありません。 – Ryan
ハッシングは一方向アルゴリズムであることに注意してください。ハッシュからパスワードをハッシュすることはできません。パスワードは後でハッシュから回復してください。 –
@ライアン開発しようとしているアプリケーションの種類は分かりますか?私がそれらを回復する必要があると思うことを仮定してください。 – Eghes