[Hackmeeting] problema con dati sensibili

Delete this message

Reply to this message
Autore: gmail
Data:  
To: hackmeeting
Oggetto: [Hackmeeting] problema con dati sensibili
ho messo su un sito per ricevere gli update degli status di Twitter
direttamente sul cellulare e sulla mail, ma ho un dilemma che vorrei
sottoporvi;

per accedere agli account Twitter degli iscritti ovviamente devo avere i
loro username e password in chiaro, ma salvarli così come sono nel database
non mi sembra sicuro..

per evitare che qualche attaccante possa impadronirsi di questi dati ho
pensato di implementare un meccanismo di cifratura diviso in due parti:

1) password cifrata & una delle due chiavi di cifratura nel database
2) seconda chiave di cifratura contenuta direttamente in un file PHP

così anche se si riuscisse a fare SQL Injection non si ariverebbe comunque
a ricostruire la password in chiaro senza avere accesso ai sorgenti dei
file..

qualcuno ha idee migliori di questa o consigli?

grazie :)