Việc tạo cặp ECDSA bằng tên người dùng/mật khẩu có an toàn về mặt mật mã không?

Jack

22:52, 22/06/2023

Tôi đang nghĩ giả sử bạn có một hợp đồng thông minh đảm bảo không có tên người dùng trùng lặp. Điều gì sẽ xảy ra nếu tôi tạo một cặp ECDSA như vậy:

Chấp nhận tên người dùng và mật khẩu
Xác thực tên người dùng và mật khẩu
Tạo cặp khóa bằng cách sử dụng hạt giống của <username> <some separator> <password>
Trả lại cặp khóa

Điều này sẽ không an toàn về mật mã? Tôi chắc chắn có điều gì đó không ổn với nó nhưng tôi tò mò không biết đó là gì.

Cảm ơn!

0 + 0

ngẫu nhiên

Điểm:3

Crypto

Maarten Bodewes

00:44, 23/06/2023

Có một vài vấn đề với chương trình này:

nếu mật khẩu không mạnh thì khóa cũng sẽ không mạnh;
nó sử dụng một thói quen dẫn xuất khóa chưa được đặt tên, nhưng vì nó không sử dụng muối hoặc yếu tố công việc, nên nó có thể không phải là PBKDF tăng cường (chức năng dẫn xuất khóa dựa trên mật khẩu) để chống lại các điểm yếu trong mật khẩu;
nếu trình tạo số ngẫu nhiên hoặc trình tạo khóa thay đổi thì sẽ tính sai khóa;
không thể thay đổi mật khẩu, một điều có thể thực hiện được để quản lý mật khẩu tốt;
nó hoạt động với một khóa nhưng không hoạt động với nhiều khóa (mặc dù có thể dễ dàng thay đổi giao thức để thực hiện điều đó).

Cuối cùng, nếu tên người dùng là duy nhất thì bạn sẽ nhận được các khóa duy nhất, giả sử phương pháp dẫn xuất khóa của bạn là tốt. Và nếu mật khẩu của bạn đủ an toàn thì sẽ rất khó để lấy được khóa. Lưu ý rằng về cơ bản, điều này có nghĩa là mật khẩu được yêu cầu phải rất phức tạp, điều này có nghĩa là có thể cần một trình quản lý mật khẩu để ghi nhớ mật khẩu đó. Và có nhiều tùy chọn linh hoạt hơn và an toàn hơn để bảo mật khóa nếu một thiết bị như vậy vẫn được yêu cầu.

Vì vậy, bản thân nó không phải là không an toàn, nhưng nó khá không linh hoạt và dễ gây rối. Và sau đó vẫn phải nhớ một mật khẩu rất mạnh.

0 + 0

Jack

03:19, 23/06/2023

Điều đó chắc chắn có ý nghĩa. Cảm ơn rất nhiều! Tôi chỉ tò mò vì các khóa riêng tư + công khai để xác thực chắc chắn là một sự thay đổi mô hình ngày nay và tôi thấy thật kỳ lạ khi quyết định không trừu tượng hóa các kỹ thuật khỏi người dùng

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is it cryptographically secure to generate a ECDSA pair using username / password?

TH: มีความปลอดภัยในการเข้ารหัสเพื่อสร้างคู่ ECDSA โดยใช้ชื่อผู้ใช้ / รหัสผ่านหรือไม่

RO: Este sigur din punct de vedere criptografic generarea unei perechi ECDSA folosind numele de utilizator/parola?

RU: Является ли криптографически безопасным создание пары ECDSA с использованием имени пользователя и пароля?

VI: Việc tạo cặp ECDSA bằng tên người dùng/mật khẩu có an toàn về mặt mật mã không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.