Puncte:0

Este sigur din punct de vedere criptografic generarea unei perechi ECDSA folosind numele de utilizator/parola?

drapel mx

Mă gândesc să presupunem că aveți un contract inteligent care vă asigură că nu există nume de utilizator duble. Ce se întâmplă dacă generez o pereche ECDSA astfel:

  • Acceptați numele de utilizator și parola
  • Validați numele de utilizator și parola
  • Generați perechea de taste folosind seed of <username> <some separator> <password>
  • Returnează perechea de chei

Ar fi acest lucru nesigur din punct de vedere criptografic? Sunt sigur că e ceva în neregulă cu el, dar sunt curios ce ar fi.

Mulțumiri!

Puncte:3
drapel in

Există câteva probleme cu această schemă:

  • dacă parola nu este puternică, atunci nici cheia nu va fi puternică;
  • folosește o rutină de derivare a cheilor fără nume, dar din moment ce nu necesită un factor de sare sau de lucru, probabil că nu este o PBKDF (funcție de derivare a cheilor bazată pe parole) pentru a contracara punctele slabe ale parolelor;
  • dacă se modifică generatorul de numere aleatorii sau generatorul de chei, atunci se va calcula cheia greșită;
  • nu este posibilă schimbarea parolei, lucru care ar trebui să fie posibil pentru o bună gestionare a parolei;
  • funcționează pentru o singură cheie, dar nu pentru mai multe chei (deși este ușor să schimbați protocolul pentru a face acest lucru posibil).

În cele din urmă, dacă numele de utilizator este unic, atunci veți obține chei unice presupunând că metoda dvs. de derivare a cheilor este bună. Și dacă parola dvs. este suficient de sigură, atunci ar fi dificil să obțineți cheia. Rețineți că acest lucru înseamnă, practic, că parola este necesară foarte complexă, ceea ce înseamnă că, la rândul său, este necesar ca un manager de parole să o rețină. Și există opțiuni mai flexibile și mai sigure pentru a securiza o cheie dacă un astfel de dispozitiv este oricum necesar.

Deci nu este nesigur în sine, dar este mai degrabă inflexibil și ușor de încurcat. Și apoi este încă necesar să vă amintiți o parolă foarte puternică.

Jack avatar
drapel mx
Asta cu siguranță are sens. Multumesc de un milion de ori! Sunt doar curios pentru că cheile private + publice pentru autentificare sunt cu siguranță o schimbare de paradigmă în aceste zile și mi s-a părut ciudat că s-a decis să nu abstragă aspectele tehnice de la utilizatori.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.