我正在使用 PKCS#5 标准使用随机且唯一的盐和输入的用户密码生成密钥。将此密钥视为“加密”密钥。
“加密”密钥用于加密随机 AES 密钥。每个用户都有一个与其配置文件关联的 AES 密钥。
因此,用户的个人资料将包含以下信息:
--> 用于身份验证的密码哈希。
--> PKCS#5 算法中使用的盐。(从 PKCS#5 V2.0 文档中,我们知道此信息不需要保护)。
--> 随机生成的加密 AES 密钥,并使用由 PKCS#5 算法生成的“加密”密钥以及盐和用户密码进行加密
我在问自己同时拥有密码的哈希、盐和加密的 AES 密钥是否危险。我有 99.9% 的把握这不是问题,但它能否促进拥有所有这些细节的攻击者的工作?