Score:0

มีความปลอดภัยในการเข้ารหัสเพื่อสร้างคู่ ECDSA โดยใช้ชื่อผู้ใช้ / รหัสผ่านหรือไม่

ธง mx

ฉันคิดว่าสมมติว่าคุณมีสัญญาอัจฉริยะที่รับรองว่าไม่มีชื่อผู้ใช้ซ้ำซ้อน จะเกิดอะไรขึ้นถ้าฉันสร้างคู่ ECDSA ดังนี้:

  • ยอมรับชื่อผู้ใช้และรหัสผ่าน
  • ตรวจสอบชื่อผู้ใช้และรหัสผ่าน
  • สร้างคู่กุญแจโดยใช้เมล็ดของ <username> <some separator> <password>
  • ส่งคืนคู่กุญแจ

สิ่งนี้จะไม่ปลอดภัยในการเข้ารหัสหรือไม่? ฉันแน่ใจว่ามีบางอย่างผิดปกติ แต่ฉันอยากรู้ว่ามันจะเป็นอย่างไร

ขอบคุณ!

Score:3
ธง in

มีปัญหาเล็กน้อยเกี่ยวกับโครงร่างนี้:

  • หากรหัสผ่านไม่รัดกุม กุญแจก็จะไม่รัดกุมเช่นกัน
  • มันใช้รูทีนการสืบทอดคีย์ที่ไม่มีชื่อ แต่เนื่องจากไม่ได้ใช้เกลือหรือปัจจัยการทำงาน จึงอาจไม่ใช่การเสริมความแข็งแกร่งของ PBKDF (ฟังก์ชันการสืบทอดคีย์ที่ใช้รหัสผ่าน) เพื่อตอบโต้จุดอ่อนในรหัสผ่าน
  • หากตัวสร้างตัวเลขสุ่มหรือตัวสร้างคีย์เปลี่ยนไป ก็จะคำนวณคีย์ผิด
  • ไม่สามารถเปลี่ยนรหัสผ่านได้ ซึ่งเป็นสิ่งที่ควรเป็นไปได้สำหรับการจัดการรหัสผ่านที่ดี
  • มันใช้งานได้กับคีย์เดียว แต่ไม่ใช่สำหรับหลายคีย์ (แม้ว่าจะเป็นเรื่องง่ายที่จะเปลี่ยนโปรโตคอลเพื่อให้เป็นไปได้)

ในท้ายที่สุด หากชื่อผู้ใช้ไม่ซ้ำกัน คุณจะได้รับรหัสเฉพาะโดยสันนิษฐานว่าวิธีการรับรหัสของคุณนั้นดี และหากรหัสผ่านของคุณปลอดภัยเพียงพอ การได้รับรหัสก็เป็นเรื่องยาก โปรดทราบว่าโดยทั่วไปหมายความว่าต้องใช้รหัสผ่านที่ซับซ้อนมาก ซึ่งหมายความว่าอาจต้องมีผู้จัดการรหัสผ่านเพื่อจดจำรหัสผ่าน และมีตัวเลือกที่ยืดหยุ่นและปลอดภัยมากขึ้นในการรักษาความปลอดภัยของคีย์ หากจำเป็นต้องใช้อุปกรณ์ดังกล่าว

ดังนั้นจึงไม่ปลอดภัยในตัวเอง แต่ค่อนข้างไม่ยืดหยุ่นและทำเลอะเทอะได้ง่าย จากนั้นยังต้องจำรหัสผ่านที่รัดกุมมาก

Jack avatar
mx flag
นั่นสมเหตุสมผลแล้ว ขอบคุณล้าน! ฉันแค่สงสัยเพราะว่าคีย์ส่วนตัว + สาธารณะสำหรับการตรวจสอบสิทธิ์นั้นเป็นการเปลี่ยนแปลงกระบวนทัศน์อย่างแน่นอนในทุกวันนี้ และฉันพบว่ามันแปลกที่มีการตัดสินใจที่จะไม่แยกประเด็นทางเทคนิคออกจากผู้ใช้

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา