Ich arbeite an einem Sicherheitssystem für eine Webanwendung - Admin-Bereich. Wenn ein Administrator einige wichtige Änderungen in der Anwendung vornehmen möchte, muss er eine Sicherheitsfrage beantworten.
Meine Frage ist: Die Antwort auf diese Frage sollte in der Datenbank gehashed werden?
Ich denke auch daran, den Administratoren die Möglichkeit zu geben, ihre Frage / Antwort zu ändern, aber der Administrator könnte das tun, wenn er seine Identität mit einem Passwort bestätigt. Ist das ein guter Ansatz?
Es zu hacken ist meiner Meinung nach eine großartige Idee. Da niemand wirklich etwas anderes als der ursprüngliche Benutzer wissen muss, ist es besser, das eher "Geheimnis" von nur neugierigen Augen zu behalten.
Was die Fähigkeit betrifft, es zu ändern, ist das auch eine großartige Idee und es ist ein weiterer guter Sicherheitsansatz, dass er sein Passwort eingeben muss, um es zu ändern.
Ich denke, dass Sie mit Ihrem Denken auf dem richtigen Weg sind.