Quiere construir un administrador de contraseñas usando OpenPGP.js

Navega tus respuestas
1

Estoy un poco cansado de los administradores de contraseñas disponibles alrededor ... Necesito uno que sea de código abierto, que funcione en OSX, que me permita almacenar archivos .pem y en los que pueda confiar.

Como no he encontrado uno, pensé que podría ser un proyecto interesante en el que trabajar. Voy a usar AngularJS solo porque es una tecnología que quiero comenzar a usar y este proyecto parece ser una buena opción.

Mi idea sería tener un backend tonto que se encargara del inicio de sesión / registro y las operaciones CRUD de las contraseñas (con etiquetas para facilitar la búsqueda) ... pero todo el cifrado / descifrado debe ser realizado por el navegador .

Lo único de lo que no estoy muy seguro es de la seguridad de la clave privada en el navegador ... ¿Pueden tener acceso a ellos diferentes complementos / complementos cuando lo cargue en OpenPGP? ¿la clave privada se almacena como está en la memoria cuando OpenPGP la está utilizando?

He visto que hay muchos otros complementos que usan esto, pero no estoy muy seguro de lo bueno que sería.

Supongo que podría tener un perfil diferente o un navegador que no utilizo con este ... ¿qué tan buena idea es?

    
pregunta g3rv4 19.07.2014 - 00:55
fuente

2 respuestas

5

[Divulgación: Yo también trabajo para una empresa de administración de contraseñas]

Hace mucho tiempo, traté de desarrollar mi propia solución de administración de contraseñas usando PGP / GnuPG. A medida que pensaba más en ello, lo encontré insatisfactorio y, finalmente, cambié al que ahora he venido a trabajar.

Aquí hay algunas cosas que debe considerar antes de intentar rodar su propio sistema de administración de contraseñas:

  • ¿Cuál es su fuente de aleatoriedad para la generación de claves y contraseñas?

    Hacer Usted sabe cómo usar un número aleatorio criptográficamente seguro generador y por qué funciona de la manera que lo hace

  • ¿Cuál es su función de derivación de claves?

    ¿Usa algo como ¿PBKDF2 para resistir los intentos de descifrado de contraseñas contra su contraseña maestra?

    ¿Sabe cómo interactúan y se oponen todas las opciones en su KDF? ¿Ataques actuales y previsibles?

  • ¿Cuántos datos confidenciales permanecen descifrados al mismo tiempo?

    Si descifrar un archivo completo, entonces todos los datos descifrados necesitarán reside en la memoria o memoria virtual en tu computadora, dejándola potencialmente expuesto después de un bloqueo, en memoria, en copia de seguridad automática archivos, o en archivos de intercambio del sistema

  • ¿Qué medidas tiene el sistema para evitar la pérdida de datos?

    hace el El sistema de respaldo (automático) realiza cualquier verificación de integridad en los datos antes de hacer una copia de seguridad?

  • ¿Cómo se borra la memoria de datos confidenciales cuando ya no se necesita?

    ¿Existen técnicas de ofuscación para datos confidenciales (como claves de descifrado) que pueden necesitar residir en la memoria de la aplicación mientras?

  • ¿Se bloqueará automáticamente tu sistema o requiere que tomes ¿Acción para bloquear / cerrar sus datos?

  • ¿Puede eliminar o minimizar el uso de Copiar y Pegar de información confidencial? datos?

  • Si crea compatibilidad con el navegador web, ¿conoce los tipos de amenazas contra las herramientas de administración de contraseñas "en el navegador"?

  • Y lo más importante, ¿puede mantenerse al día con toda la investigación y desarrollo en todas estas (y otras) cuestiones que pueden requerir un ¿Cambio en el diseño o implementación?

No es necesario que tengas una respuesta satisfactoria a todos estos para intentar rodar la tuya. Pero si desea "ignorar" algunas de estas preguntas, debe hacerlo deliberadamente.

Te deseo lo mejor con lo que decidas hacer.

    
respondido por el Jeffrey Goldberg 20.07.2014 - 19:10
fuente
1

Divulgación completa: trabajo en una empresa de administración de contraseñas. No diré cuál porque no voy a mencionar a ninguno de ellos por su nombre.

Es mejor usar uno de los administradores de contraseñas comerciales o FOSS, ya existentes.

¿Por qué? Debido a que un equipo de personas que trabajan a tiempo completo (o en los administradores de FOSS, un equipo de voluntarios dedicados e inteligentes) en el proyecto es mucho más probable que lo haga bien que usted. Tienen un gran interés en asegurar que los problemas se corrijan rápidamente y que el flujo se haga correctamente.

No es una buena idea lanzar la suya desde solo un fin de semana de piratería.

    
respondido por el user11869 19.07.2014 - 03:37
fuente

Lea otras preguntas en las etiquetas

¿Necesito un firewall de hardware incluso si tengo un software de seguridad de Internet? ¿Es posible intercambiar exponentes públicos y privados en RSA?