Bitwarden PIN保护机制

Question

我在Bitwarden找不到任何关于PIN管理的深潜信息。我看不懂他们的代码，不够合格。

这里有没有人能解释一下PIN保护是如何与Bitwarden浏览器扩展一起工作的？

当金库被锁定并且你使用你的主钥匙解锁时，我确信你的电脑上没有任何地方存储钥匙。所以我对此没意见，但由于我的主密码很强，所以每次打开浏览器时输入它都很不方便。这是PIN代码进入现场的时候。

我想了解PIN是如何工作的，因为我假设它用于加密存储在您计算机上的主密钥。这对一些人来说可能是个问题。如果它降低了安全级别，我将非常感谢来自Bitwarden的警告。所以,

1. PIN机制用于加密存储在硬盘上的masterkey吗？
2. 如果是的话，您知道它的加密机制吗？假设有人在我的金库被锁的时候偷数据，那个小偷需要什么才能找到密码？由于PIN比密码简单得多，可以使它们更方便，所以我希望这种机制具有强大的安全性。我不是在直接讨论浏览器扩展中的5次尝试限制，我指的是对被盗原始数据的真正的蛮力。

Answer 1

它使用PBKDF2_SHA-256的100,000次迭代导出密钥加密密钥，并以您的电子邮件地址和PIN作为输入。主密钥由此密钥加密。

src/角/部件/锁.部件。

这是为了方便而不是为了安全而作的权衡。如果加密的主密钥是从内存中提取出来的，那么它可能会被强暴地强加在攻击者的机器上。加密的主密钥在浏览器重新启动时被清除，并需要主密码才能再次解锁金库，但此选项可以从PIN设置中选择退出，这将在持久存储中缓存加密的主密钥。