主要问题是:如何在服务器上安全地存储 2FA TOTP 种子。假设我将所有用户信息存储在 DBMS 的表中。我想保护用户数据免受整个数据库被盗的情况。
用户密码被散列和加盐,但我不能对 2FA 种子做同样的事情。
我有这个想法,用从用户密码派生的密钥对称地加密 2FA 种子。在登录期间,我将使用给定的密码来检查哈希版本,并使用相同的密码来解密 2FA 种子。密码本身将无处存储。
我担心的是这种方法实际上会削弱安全性,并且入侵者将能够恢复拥有数据库的用户密码(例如通过暴力攻击)。
主要问题是:如何在服务器上安全地存储 2FA TOTP 种子。假设我将所有用户信息存储在 DBMS 的表中。我想保护用户数据免受整个数据库被盗的情况。
用户密码被散列和加盐,但我不能对 2FA 种子做同样的事情。
我有这个想法,用从用户密码派生的密钥对称地加密 2FA 种子。在登录期间,我将使用给定的密码来检查哈希版本,并使用相同的密码来解密 2FA 种子。密码本身将无处存储。
我担心的是这种方法实际上会削弱安全性,并且入侵者将能够恢复拥有数据库的用户密码(例如通过暴力攻击)。