webkey是一个相当安全的认证系统吗?
在过去的几天里,我创建了韦伯基。这样,任何网站都可以使用更高的安全性和方便性来进行单一密码验证(如果密码尚未过期,则使用单一密码,可能有几个小时或几天的过期时间;如果密码尚未过期,则不需要输入文本)。
它使用在浏览器中生成的RSA密钥,使用aes以加密形式存储.用户的密码从未通过互联网发送(即使是以加密的形式发送)。此实用程序可以完全静态地承载(目前正在http://webkey-auth.github.io/guest.html托管)。
我在这里做的理论上是安全的吗?我认为这与发送用户名和密码相比可能是一个巨大的改进--这是目前互联网安全中最薄弱的环节。这是如何工作的潜在问题?
回答 1
Cryptography用户
发布于 2016-04-05 20:57:43
首先,您应该对协议做出更正式的定义。如果没有适当的定义,就无法评估安全。
其次,您没有指定密钥大小。RSA-512是一个如此低的密钥大小,它可能被认为是坏的。另一方面,如果您选择更高的密钥大小(椭圆曲线密码将更有意义),您可能会遇到性能问题。这不是理论上的安全,我知道,但它是一种-确保这将永远不会运行在任何实际的密钥大小。
挑战也是如此。3字符是低的方式,几乎请求重播攻击,如果同样的挑战是发送。一个16字节的挑战应该是最小的。
您似乎正在使用Node.js包含作为您的RSA密钥对代码。如果按您的建议在浏览器中提供密钥生成,这是很奇怪的。
最大的可用性问题是,如果浏览器存储被破坏,您可能会丢失私钥。RSA密钥似乎是浏览器的本地密钥,因此没有指定共享不同的设备。
它似乎没有具体说明,如果你丢失你的钥匙会发生什么。
我还没有看到对TLS的任何要求(通过服务器身份验证)。您需要这样做,否则攻击者可能只需注入Java脚本代码就可以窃取您的密钥。
总之,在您的协议描述中遗漏了太多,无法进行全面的安全检查。但似乎还有很多地方需要改进,才能用于任何严肃的目的。
https://crypto.stackexchange.com/questions/34258
复制相似问题
腾讯云开发者
