Le but est que le stockage des mdp en local se fasse de manière crypté. Par contre, le problème est que les webservices ne vont pas évoluer avant plusieurs mois (au mieux). Donc pour assurer une continuité de service, il faut absolument que le mot de passe soit décrypté juste avant d'être envoyé (on est bien d'accord qu'au niveau sécurité, ça reste... perfectible, mais c'est toujours mieux que d'avoir l'intégralité en clair).
En faite tu ne rajoute qu'une faible complexité, vu que ta clé est local sur ton système embarqué, si l'attaquant démonte ton système, si il peut récupérer la base de données, il pourra aussi déchiffrer tes mots de passes.
Donc ce que tu fais est mieux que rien, mais n'assure aucune protection contre un attaquant un peu sérieux. Maintenant avec tes contraintes de développement, j'ai rien de mieux à te proposer, mise à part de faire en sorte que cela soit facilement évolutif vers une solution qui protège au moins le mot de passe de tes clients.
p.s. Redis moi ce que vaux le code, j'en aurai peut-être besoin dans un avenir proche
Partager