Un utente scarica un file da un server. Voglio archiviare quel file localmente sul computer dell'utente in modo che possano visualizzare offline. Per protezione, dovrebbe essere crittografato mentre non viene visualizzato.
La mia teoria è che potresti generare una chiave per crittografare usando la password dell'utente come input per un KDF in modo che la chiave possa essere creata quando l'utente vuole vedere il file senza bisogno dell'accesso online e non sarà necessario memorizzare una chiave localmente da qualche parte.
Sono preoccupato che questo ora offra un utente malintenzionato con un possibile attacco offline per decifrare la password di un utente poiché può provare a generare chiavi finché non decodifica il file. In un mondo in cui non ci si può aspettare che gli utenti usino password sufficientemente buone per generare chiavi forti, sospetto che questo metodo non funzioni in pratica.
Questa logica è corretta? C'è un altro modo per gestire questo problema?