做了一个基于 Google OAuth 的密码管理器雏形,求分析安全性
sNullp · sNullp · 2014-07-31 08:20:01 +08:00 · 3135 次点击这是一个创建于 3762 天前的主题,其中的信息可能已经有所发展或是发生改变。
Github: https://github.com/snullp/goPwd
Demo: https://pwd.bigsquirrel.me
希望回复有理有据,高质量的分割线----------------
这个管理器的思路是通过OAuth获得一个Unique的MasterKey,然后用一个密码生成算法 根据(Entity name,MasterKey,Options)来生成密码。
管理器不使用数据库,减少了被脱库的风险。
假设服务器的filesystem content和memory content是安全的。
整个环节,因为生成算法是公开的,所以唯一需要注意的就是MasterKey。目前MasterKey是存在php的session里的,可以被认为是安全的吧?
MasterKey 是由Google的 UID(google account对应的唯一id)和 Google OAuth后端id(每个人都可以申请) 结合后哈希生成的。所以需要 Google OAuth后端id 保密(后端id需要存在config file里)。目前的设计上看在这点上是否有疏忽?
Demo: https://pwd.bigsquirrel.me
希望回复有理有据,高质量的分割线----------------
这个管理器的思路是通过OAuth获得一个Unique的MasterKey,然后用一个密码生成算法 根据(Entity name,MasterKey,Options)来生成密码。
管理器不使用数据库,减少了被脱库的风险。
假设服务器的filesystem content和memory content是安全的。
整个环节,因为生成算法是公开的,所以唯一需要注意的就是MasterKey。目前MasterKey是存在php的session里的,可以被认为是安全的吧?
MasterKey 是由Google的 UID(google account对应的唯一id)和 Google OAuth后端id(每个人都可以申请) 结合后哈希生成的。所以需要 Google OAuth后端id 保密(后端id需要存在config file里)。目前的设计上看在这点上是否有疏忽?
 |
1
yangqi 2014-07-31 08:39:10 +08:00  1
|
 |
3
sNullp OP @yangqi Google will verify redirect_url parameter and block unauthorized redirection in their side. Also, in my code, api/auth.php will also check if the token is returned by Google.
|
 |
4
shyrock 2014-07-31 11:27:34 +08:00
最好有个示意图说明这个密码的生成方法和使用方法。。。
|
|
7
sNullp OP |
 |
8
mcfog 2014-07-31 12:27:05 +08:00
http://www.passwordmaker.org/ 用户路过,表示根本不需要什么中心服务器
|
 |
10
rankjie 2014-07-31 13:03:17 +08:00 1
看了下 https://github.com/snullp/goPwd/blob/master/include/Generators/naive.pwdGen.php ,所以就是对于但以用户而言,密码目前只是根据名称来计算出唯一值,那么就有以下问题需要改进:
1:假设我要修改某站点的密码,那么我就必须改名称才行了,不过这是小问题... options 利用起来就好了 2:公开的算法,然后唯一凭证就是 Google OAuth后端id 和 Google的 UID ,为什么你相信这两组数据是被保密的呢?我看不出这两个 id 对于 Google 而言有什么需要保密的地方 |
Select Language