推荐关注 Meteor JSLint - a Javascript code quality tool jsFiddle D3.js WebStorm 推荐书目 Javascript 权威指南第 5 版
Closure: The Definitive Guide
Closure: The Definitive Guide 
Bitwarden 浏览器扩展的 PIN 解锁是否安全?
naoh1000 2021-03-17 13:01:56 +08:00 via iPhone 3988 次点击这是一个创建于 1682 天前的主题,其中的信息可能已经有所发展或是发生改变。
源码地址 https://github.com/bitwarden/browser
发现很多 V 友在使用 Bitwarden,想知道 Bitwarden 浏览器扩展是如何防止使用 PIN 解锁的密码库被电脑上其它程序读取的。PIN 码通常很短,虽然使用扩展解锁输错 5 次会要求密码解锁,但直接读取密码库并进行暴力破解 PIN 是否很容易实现?解锁后其它程序是否有可能直接读取到明文密码?因为这个扩展是用 TypeScript 写的,就发到 JS 区请 V 友帮忙分析一下了。
发现很多 V 友在使用 Bitwarden,想知道 Bitwarden 浏览器扩展是如何防止使用 PIN 解锁的密码库被电脑上其它程序读取的。PIN 码通常很短,虽然使用扩展解锁输错 5 次会要求密码解锁,但直接读取密码库并进行暴力破解 PIN 是否很容易实现?解锁后其它程序是否有可能直接读取到明文密码?因为这个扩展是用 TypeScript 写的,就发到 JS 区请 V 友帮忙分析一下了。
 | 1 gscsnm 2021-03-17 13:15:57 +08:00 疑问+1 |
 | 2 flexbug 2021-03-17 13:17:42 +08:00 没用过,我都是直接主密码解锁 |
 | 3 Huelse 2021-03-17 13:32:39 +08:00 |
 | 4 StarUDream 2021-03-17 13:36:00 +08:00 |
 | 6 uTOmOuk3L6sb4MSI 2021-03-17 14:13:53 +08:00 via iPhone |
 | 7 delpo 2021-03-17 14:15:46 +08:00 慢哈希 |
| 8 delpo 2021-03-17 14:22:03 +08:00 https://en.wikipedia.org/wiki/Argon2 经常用于将短密码派生成长密码 |
 | 10 ysc3839 2021-03-18 00:00:14 +08:00 via Android > 如何防止使用 PIN 解锁的密码库被电脑上其它程序读取 防不了,你得保证你的系统是安全的。 |
 | 11 codehz 2021-03-18 10:00:20 +08:00 via Android 要防止其他软件作恶的话,建议独立硬件存储,且不连接到设备上,不然再怎么防御也就是和 chrome 几乎明文存密码一个安全等级,能控制得了设备的就可以拿到密码,顶多需要潜伏到你输入 pin 那一刻。 |
 | 12 libook 2021-03-18 11:17:34 +08:00 没有物理隔离就没法谈安全。 所以最最最最底线是要保证你的终端设备是安全的,否则你不用 pin 用长的主密码也照样会被窃取,再加上目前主流的密码管理工具都是本地加解密模式,说不定偷解密的密码库比偷秘钥还简单。 上面分享 Windows Hello 的文章跟楼主讨论的问题其实并不是毫无关系,主要是介绍了一下 pin 的安全性思想,这个在任何产品上都是通用的,即是:pin 机制的安全性是建立在诸多限制和安全策略的前提之上的,因为有相对合理的安全性,所以可以用在一些场景中。 所以正面回答楼主的提问的话,破坏了保证 pin 机制的限制和安全策略之后,显而易见 pin 的安全性大打折扣,但与此同时,主密码的安全性也损失不少。 如果不放心,可以牺牲一些便利性换取更多的安全性;毕竟, 安全都是相对的。 |
 | 13 skfu 2021-10-18 00:38:56 +08:00 via iPhone 如果你假设其他恶意软件来读取密码管理器的密码,那么如果假设存在的话,你在这台电脑上无论用不用密码管理器都一样的 |
Select Language