Javascript 解密随机数据(到密码)
设想一个基于web的密码管理器。它在浏览器中使用javascript和对称加密算法,从服务器加密密码和从用户获得主密码,以获得特定于站点的密码 服务器对主密码和站点特定密码一无所知,只知道加密的表单。如果用户使用了不正确的主密码,则他/她会获得不正确的站点特定密码,因此不可能进行验证 问题是: 由于javascript没有很好的随机性,所以应该在服务器端生成密码。由于服务器必须不知道站点特定的密码,我认为可以生成站点特定密码的随机加密形式,并且如果客户端使用其主密码对其进行解码,那么站点特定的密码才会存在 是否有一种算法可以从任意随机数据/主密码组合中解密一个合适的密码?Javascript 解密随机数据(到密码),javascript,php,security,encryption,passwords,Javascript,Php,Security,Encryption,Passwords,设想一个基于web的密码管理器。它在浏览器中使用javascript和对称加密算法,从服务器加密密码和从用户获得主密码,以获得特定于站点的密码 服务器对主密码和站点特定密码一无所知,只知道加密的表单。如果用户使用了不正确的主密码,则他/她会获得不正确的站点特定密码,因此不可能进行验证 问题是: 由于javascript没有很好的随机性,所以应该在服务器端生成密码。由于服务器必须不知道站点特定的密码,我认为可以生成站点特定密码的随机加密形式,并且如果客户端使用其主密码对其进行解码,那么站点特定的密
关于如何实现这样的事情有什么想法吗?对随机数据块的简单对称解密将产生另一个包含看似随机数据的数据块。是的,你基本上让服务器给你提供一些随机序列,然后你转换成另一个随机序列
然而,这样的方案对于客户端javascript的各种攻击并不安全 一个attacs的例子?因为如果浏览器本身遭到破坏,那么任何基于浏览器的密码管理器无论如何都注定会失败?@a966821请查看关于“已考虑,不适用-无论如何都使用https”的文章,不需要随机性,通过https以明文传输密码不会提供额外的安全性。你所说的纯对称解密到底是什么意思?@a966821获取一个16字节的块,在ECB模式下使用一个16字节的密钥解密,不涉及填充等。