В том то и дело, ключи (не соль, ее можно оставить на сервере) для дешифрования не стоит хранить вместе с данными, ключ будет передан клиентом в тот момент, когда он взаимодействует с сервисом, и удален из памяти по окончанию работы пользователя. А то, что сохранность до тех пор, пока есть пароль — нередко такой меры будет достаточно, чтобы понизить ценность украденной базы.
Безопасность в интернете — вещь относительная и никогда не может быть полной, всегда найдется кто-то умнее и настойчивее и обойдет ее. Защита предназначена для того, чтобы усложнить эту задачу для страждующих.
Хранение пароля на сервере, конечно же, не вариант, теряется смысл. Ключ же стоит хранить лишь на стороне клиента. Если сервер не занимается заботливым кешированием ключей, то в случае потери базы ключи так просто не достанутся третьим лицам.
Хранение пароля на сервере, конечно же, не вариант, теряется смысл. Ключ же стоит хранить лишь на стороне клиента. Если сервер не занимается заботливым кешированием ключей, то в случае потери базы ключи так просто не достанутся третьим лицам.