想象一下基于网络的密码管理器。它使用浏览器中的javascript和对称加密算法,来自服务器的加密密码和来自用户的主密码来获取站点专用密码。
服务器应该不知道主密码或站点专用密码,只知道加密形式。如果用户使用不正确的主密码,则他/她获取的站点专用密码不正确,则不应该进行Vertifycations。
问题: 由于javascript没有良好的随机性,密码生成应该在服务器端完成。由于服务器必须不知道特定于站点的密码,我认为可以生成特定于站点的密码的随机加密形式,如果客户端使用他/她的主密码对其进行解码,则只能使用特定于站点的密码进入存在。
是否有算法可以解密任何随机数据/主密码组合中的正确密码? 关于如何实现这样的事情的任何想法?
答案 0 :(得分:0)
随机数据块的“普通”对称解密将产生具有看似随机数据的另一数据块。所以,是的,你基本上让服务器为你提供一些随机序列,然后你转换成另一个随机序列。
但是,这种方案对客户端的客户端javascript的各种攻击并不安全。