作为练习,我正在编写一个充当密码银行的应用程序。它应该符合这些参数: 不留明文痕迹(即永远不保存未加密的用户数据); 安全存储未定义数量的UN / PW对的完整数据集; 2因素作为奖励(梦幻般的特征)。
加密事物很容易,但是这里变得棘手: 每个帐户对象应该加密并存储在自己的文件中,还是应该存储在一个文件中,即:(facebook.whatever,google.whatever)或accounts.whatever。
此外,可能更重要的是,我如何访问这些加密数据集?密钥不应该存储,而是通过密码生成,所以...用于登录应用程序的密码并将其哈希以用作密钥的密钥/种子prng?或者有更好的方法来做到这一点吗?
我遇到的问题是:应用程序不应该从错误的密码中错误地转储解密数据,因此必须有一些方法来检查密码,但不知何故这不会降低系统的安全性。 / p>