vă rugăm să verificați sau să explicați cum să faceți acest lucru corect.
Permit un utilizator să creeze chei de la client printr-un server securizat.
Cer utilizatorului o parolă pentru client, apoi trimit parola hashing la server. Serverul generează chei noi și le criptează cu hash-ul parolei + cheia de verificare generată. Cheile criptate sunt salvate pe server. Returnez cheia de verificare clientului (probabil ar trebui să o criptez și cu hash-ul parolei, nu?)
Când utilizatorul trebuie să își acceseze adresa pentru a face o tranzacție sau a semna ceva, trebuie să trimită cheia de verificare și hash-ul parolei.
Aceste chei și adrese sunt destinate să fie de scurtă durată sau de o singură utilizare. Cu toate acestea, sunt îngrijorat că un utilizator ar putea să-și uite parola și să-l lase să verifice corectitudinea înainte de a alege o cheie de utilizat. Deci, planul meu este să salvez un hash al parolei lor în baza de date a clienților pentru a confirma parola lor este corectă înainte de a le prezenta o adresă de finanțat.
Este sunet și sigur? Ce pași suplimentari aș putea face pentru a întări procesul? Dacă reinventez greșit o roată, vă rog să sugerați un protocol de urmat.
Mulțumesc pentru orice atenție și îndrumare!
