Archiviazione password online: è sicuro e come posso implementarlo?

-2

Ciao a tutti per uno strumento online che offre la funzione di memorizzare le password online. Voglio implementare il seguente processo:

  1. Un utente sta generando una chiave casuale segreta sicura con Javascript

  2. Questa chiave viene salvata nel browser degli utenti ma mai trasferita online

  3. Se un utente salva una nuova password, la password viene crittografata sul lato client con Javascript utilizzando la chiave utente

  4. La password crittografata viene trasferita (tramite SSL comunque) alla memoria della chiave online e salvata lì

  5. Se un utente ha bisogno di una delle password salvate, viene ritrasferito al browser degli utenti e decriptato sul lato client con Javascript con la chiave segreta degli utenti

Pertanto, anche in caso di MITM o anche se il server è compromesso, i dati per un eventuale utente malintenzionato sono inutili.

Come posso memorizzare una chiave segreta in un browser locale (conosci una buona possibilità) e come posso esportare la chiave?

Grazie per il tuo aiuto!

    
posta Blackbam 16.09.2015 - 16:03
fonte

1 risposta

2

Non credo che chiunque possa stabilire se la sicurezza di uno schema di crittografia è sicura senza sapere come verrà gestita la chiave.

Per quanto riguarda la richiesta di come gestire la chiave, memorizzare l'unica copia di una chiave in qualcosa di effimero come i dati del browser sembra un grosso errore. Sei un guasto del disco rigido lontano dalla perdita della chiave di tutti i tuoi dati. Troppo rischioso.

Penso che tu debba fare una delle due cose:

  1. Crea la chiave dalla passphrase di un utente usando qualcosa come PBKDF2.
  2. Cripta la chiave master utilizzando una password dell'utente e memorizza quella chiave sul server.

Ci sono già molti sistemi che fanno qualcosa di simile; incluse opzioni open source come KeePass . Possono essere integrati con servizi di condivisione file esistenti come Dropbox per gestire i problemi di archiviazione e distribuzione. Ne parlo per il fatto che generalmente è meglio usare un codice di sicurezza ben collaudato piuttosto che scriverne uno proprio. Keepass ha già lavorato su un bel molti problemi di sicurezza .

    
risposta data 16.09.2015 - 16:51
fonte