0
想象一下基於Web的密碼管理器。它使用瀏覽器內JavaScript和對稱加密算法,來自服務器的加密密碼和來自用戶的主密碼以獲取站點特定的密碼。解密隨機數據(至密碼)
服務器應該對主密碼和站點專用密碼一無所知,只有加密的形式。如果用戶使用不正確的主密碼,則他/她得到不正確的站點特定密碼,則不應該使用vertifycations。
問題: 由於javascript沒有很好的隨機性,所以密碼的生成應該在服務器端完成。由於服務器不能知道站點特定的密碼,我認爲可以生成隨機加密的站點特定密碼形式,如果客戶端使用他/她的主密碼進行解碼,那麼只有站點特定的密碼成爲存在。
是否有一種算法可以解密任何隨機數據/主密碼組合的體面密碼? 關於如何實現這樣的事情的任何想法?
attacs的一個例子?因爲如果瀏覽器本身受到威脅,那麼任何基於瀏覽器的密碼管理器都註定會失敗? – a966821 2014-09-14 16:23:42
@ a966821請檢查http://matasano.com/articles/javascript-cryptography/ – 2014-09-14 16:37:50
上的文章,認爲不適用 - 無論如何都使用https,不需要隨機性,通過https傳輸明文密碼不會提供額外的安全性。 「純對稱解密」是什麼意思? – a966821 2014-09-14 17:23:22