L'app Web che sto sviluppando dovrebbe essere crittografata end-to-end, ma per un'esperienza utente leggermente migliore, non voglio che l'utente inserisca le chiavi private nel client.
Invece sto pianificando di memorizzare la chiave privata crittografata sul server delle applicazioni. Quindi il client la decrittografa con una password fornita dall'utente. Ovviamente per scaricare la chiave privata crittografata, l'utente deve accedere all'applicazione. Si spera che con una password diversa come per la crittografia della chiave. (vedi sotto)
Un rischio sarebbe che l'utente usi la stessa password per la crittografia di login e di chiave privata, in modo che l'applicazione non sia più crittografata end-to-end.
Come pensi a questo? O ci sono problemi di sicurezza che non vedo?
(Per evitare questo rischio, dovrei pre-scalare la password di login sul lato client?)
Grazie in anticipo.