想要使用OpenPGP.js构建密码管理器

Question

我对密码管理器有点厌倦了.我需要一个开源的，在OSX上工作的，允许我存储.pem文件并且我可以信任的。

由于我还没有找到一个，我想这可能是一个有趣的项目，我的工作。我要使用AngularJS -- b/c --这是我想要开始使用的一种技术，这个项目看起来很合适。

我的想法是有一个愚蠢的后端，负责密码的登录/注册和CRUD操作(带有标记以使搜索更容易).但是，所有的加密/解密都应该由浏览器执行。

我唯一不确定的是私钥在浏览器上有多安全.当我将插件/加载项加载到OpenPGP中时，不同的插件/加载项可以访问它吗？当OpenPGP使用私钥时，私钥是否存储在内存中？

我见过很多其他插件都在使用这个插件，但我不太确定这会有多好。

我想我可以有一个不同的资料，或者一个我不使用的浏览器.这主意有多好？

Answer 1

披露:我也在一家密码管理公司工作。

很久以前，我尝试使用PGP/GnuPG开发自己的密码管理解决方案。当我更多地考虑这件事时，我发现它不能令人满意，于是我最终转向了我现在为之工作的那个。

在尝试使用您自己的密码管理系统之前，您应该考虑以下几点：

• 您的密钥和密码生成的随机性来源是什么？你知道如何使用加密安全的随机数产生器吗?为什么它的工作方式？
• 您的关键派生函数是什么？它是否使用像PBKDF2这样的工具来抵抗针对主密码的密码破解尝试？您知道您的KDF中的所有选择是如何相互作用的，并且能够抵抗当前和可预见的攻击吗？
• 一次有多少敏感数据仍然被解密？如果您解密了整个文件，那么所有这些解密数据都需要驻留在计算机上的内存或虚拟内存中，在崩溃后，在内存中、自动备份文件中或系统交换文件中都可能暴露出来。
• 系统有哪些措施防止数据丢失？(自动)备份系统在备份之前对数据执行任何完整性检查吗？
• 当敏感数据不再需要时，如何清除它的内存？对于可能需要在应用程序内存中驻留一段时间的敏感数据(例如解密密钥)，是否存在混淆技术？
• 您的系统是自动锁定还是需要您采取行动锁定/关闭您的数据？
• 您能消除或减少敏感数据复制和粘贴的使用吗？
• 如果您在web浏览器中构建支持，您是否知道“在浏览器中”对密码管理工具的各种威胁？
• 最重要的是，您能否跟上所有这些(以及其他)问题的研究和开发，这些问题可能需要在设计或实现上进行更改？

你不需要对所有这些都有一个满意的答案来尝试你自己。但如果你想“忽视”其中的一些问题，你应该故意这样做。

无论你决定做什么，我都祝你一切顺利。

Answer 2

完全披露:我在一家密码管理公司工作。我不会说的，因为我不会点名提及其中的任何一个。

您最好使用一个商业或自由和开放源码软件，已经存在的密码管理器。

为什么？因为一个全职工作的团队(或者是自由和开放源码软件的管理者，一个专注而聪明的志愿者团队)比你更有可能做好它。确保及时纠正问题和正确处理流程对它们有很大的利害关系。

这不是一个好主意，推出自己的一个周末的黑客。