Процесс отправки зашифрованного пароля с мобильных устройств на сервер ⇐ IOS

[Anonymous]

Мне хотелось бы узнать мнение о потоке, который я создаю для любого мобильного приложения, которому необходимо отправлять комбинацию имени пользователя и пароля.
Моя идея состоит в том, чтобы зашифровать пароль с помощью AES-256, генерируя случайный парольную фразу и IV для генерации ключа. Идея состоит в том, что когда пароль генерируется впервые, он отправляет на сервер зашифрованный пароль и IV. IV и зашифрованный пароль будут храниться на сервере, в базе данных Redis, а ключ и зашифрованный пароль будут находиться только на мобильном устройстве (IV не будет храниться на устройстве). Таким образом, каждый раз, когда пользователю необходимо войти в систему, он отправляет на сервер зашифрованный пароль и ключ с сохраненным IV, сервер расшифровывает как отправленный зашифрованный пароль, так и пароль, сохраненный в БД, используя только что отправленный ключ и IV. уже на сервере.
В случае, если пользователь хочет изменить свой пароль, зашифрованный пароль, ключ и IV генерируются снова, а также отправляется старый (ключ и зашифрованный пароль), если они совпадают. , значения обновляются на сервере, и клиенту отправляется уведомление об их обновлении.
Все эти транзакции также будут выполняться внутри туннелирования SSL.
Как вы думаете, это безопасно? если нет, то почему? есть ли другой способ безопасного шифрования/расшифровки паролей с мобильного устройства на сервер?

Подробнее здесь: https://stackoverflow.com/questions/148 ... -to-server