Almacenamiento de contraseña en línea: ¿es seguro y cómo puedo implementarlo?

-2

Hola, hay una herramienta en línea que ofrece la función de almacenar contraseñas en línea. Quiero implementar el siguiente proceso:

  1. Un usuario está generando una clave aleatoria secreta segura con Javascript

  2. Esta clave se guarda en el navegador de los usuarios pero nunca se transfiere en línea

  3. Si un usuario guarda una nueva contraseña, la contraseña se cifrará en el lado del cliente con Javascript mediante la clave del usuario

  4. La contraseña cifrada se transfiere (a través de SSL) al almacenamiento de claves en línea y se guarda allí

  5. Si un usuario necesita una de las contraseñas guardadas, se transfiere nuevamente al navegador de los usuarios y se descifra del lado del cliente con Javascript con la clave secreta de los usuarios

Por lo tanto, incluso en el caso de MITM o incluso si el servidor está comprometido, los datos de un posible atacante son inútiles.

¿Cómo puedo almacenar esa clave secreta en un navegador local (¿sabe una buena posibilidad) y cómo puedo exportar la clave?

¡Gracias por tu ayuda!

    
pregunta Blackbam 16.09.2015 - 16:03
fuente

1 respuesta

2

No creo que nadie pueda decir si la seguridad de un esquema de cifrado es segura sin saber cómo se administrará la clave.

En cuanto a cómo administrar la clave, almacenar la única copia de una clave en algo tan efímero como los datos del navegador parece ser un gran error. Usted está a una falla del disco duro de perder la clave de todos sus datos. Demasiado arriesgado.

Creo que debes hacer una de dos cosas:

  1. Cree la clave a partir de la contraseña de un usuario utilizando algo como PBKDF2.
  2. Cifre la clave maestra con una contraseña del usuario y almacene esa clave en el servidor.

Ya hay muchos sistemas que hacen algo de este tipo; incluyendo opciones de código abierto como KeePass . Se pueden integrar con servicios de intercambio de archivos existentes como Dropbox para manejar los problemas de almacenamiento y distribución. Menciono esto debido al hecho de que generalmente es mejor usar un código de seguridad bien probado que escribir uno propio. Keepass ya ha trabajado en una gran cantidad de muchos problemas de seguridad .

    
respondido por el Neil Smithline 16.09.2015 - 16:51
fuente

Lea otras preguntas en las etiquetas