问如何在JavaScript中完成密钥派生？

EN

好的，对于浏览器中的密钥派生，您将使用第三方库。

如果你想成为这条线的绝对顶端，那么要考虑的潜在库是你最好的选择，根据你的用户将使用什么，有一个中等到高的工作因素。Bcrypt工作，但不是记忆困难，所以要考虑到这一点。(即使是5MB的内存使用量也会严重阻碍自定义硬件的使用来攻击您的密钥)

salt可以从crypto.getRandomValues导出，该数组接受一个类型化数组，并返回填充了可信赖的随机数据的salt。

你做不到，你能做的最好的就是像PBKDF2，氪或者bcrypt之类的东西。但他们不会产生一个强大的密码密钥。如果以弱密码或弱密码开始，并从中派生密码密钥，则结果将不可避免地不是很强。像PBKDF2、scrypt或bcrypt这样的函数并不是一颗银弹。他们让事情变得不那么糟糕，但最终，它仍然是坏的；它只是不那么糟糕。这肯定不太好，也不会产生我称之为强项的钥匙。

你能做的第一件事是:不要那样做。不要从密码或密码生成密码密钥。人类并不擅长选择或记忆高熵密码/密码。因此，考虑到我们对人类行为的了解，如果您从密码/密码中获得密码密钥，您的数据将比人们所希望的安全得多。

相反，如果您希望具有较强的安全性，请选择一个真正随机的加密密钥(而不是从密码/密码中派生的密钥)。使用正确的密钥管理。是的，这是更多的工作。实现强大的安全确实需要更多的工作。根据您的需求，您甚至可能无法在浏览器环境中实现您的安全目标。这就是生活。如果你需要强大的安全性，你能做的最糟糕的事情就是给用户一种错误的安全感:让他们认为自己是安全的，而实际上他们只有有限的保护。

如果你重视简单和良好的保护，这就是我的建议：

1. 将弱用户PW输入PBKDF2-SHA1。这里有一些简洁的js实现，比如Parvez Anandam的实现。用户可以根据自己的喜好调整迭代次数(对值低于几分钟的警告)--大约10000次迭代会给平均智能手机上大约1秒的延迟。 注意到，javascript中的bcrypt实现相当复杂，而scrypt则更加复杂--以至于我放弃了它。PBKDF2算法性能良好，使用简单。
2. PBKDF2的一个可接受的盐可以通过散列来实现(用户-一些简单的随机值)。

由于与各种浏览器的兼容性问题，我不建议使用crypto.getRandomValues来获取salt。见此处：https://stackoverflow.com/questions/16084766/compatibility-of-window-crypto-getrandomvalues