如何在浏览器中安全地存储用户密码？

Question

在玩过eth-lighwallet库之后，我有一个与安全性有关的问题。

1. 如何在浏览器中安全地存储用户密码？

想象一下这样一种情况，用户提供了一个密码，并由eth-lighwallet使用它来签名事务。

一方面，每当eth-lightwallet需要密码时，应用程序都可以提示用户输入密码。虽然它是安全的，但它是一个糟糕的用户体验。

另一方面，应用程序可以在变量/localStorage/sessionStorage中保存密码，并在任何需要的时候使用它。

第二种情况看起来不安全，因为一些恶意脚本可以检索这个密码并做它想做的任何事情，比如转移资金和其他东西。

如果有一种方法可以在用户的浏览器中存储用户密码，那么javascript就可以设置它，而不是获取它。得到它的唯一方法是使用一个特殊的按钮来保证点击来自用户的鼠标，而不是某个脚本。

Answer 1

如果它可以由代码创建，那么它可以通过代码访问。实现您正在考虑的目标的唯一方法可能是通过硬件安全性。