我正在考虑创建自己的基于Web的多用户密码管理软件。
出现的基本问题是,我将采用什么策略来安全存储和检索密码?
显然,我不想以明文形式存储信息。我应该在数据库服务器,Web服务器,客户端(javascript)或任何地方加密/解密吗?加密密钥在哪里?我应该使用主密码(预共享密钥)进行加密/解密吗?
我还应该问自己其他问题吗?
我感谢任何建议。
答案 0 :(得分:0)
快速谷歌搜索“在线密码管理器”揭示了一些结果,包括:
无法评论网站的质量或其安全性,只是回复帖子的第一行,上面写着“我正在寻找基于网络的多用户密码管理软件”。它肯定在那里,并且与自己构建它相比可以节省大量时间。
答案 1 :(得分:0)
你应该问自己“如果我愿意,我可以自己获取实际密码吗?”。答案应该始终是否定的。要实现此目的,请使用salted哈希而不是加密。
http://pbeblog.wordpress.com/2008/02/12/secure-hashes-in-php-using-salt/