How to implement reset password for a password manager
如何最好地实现密码管理器的重置密码功能?我目前正在保存一个hashed+salt主密码,并用主密码本身加密密码,但是如果用户丢失了主密码,这意味着密码无法解密。
我想保存一个用主密码加密的密码版本和一个用用户电子邮件加密的版本,加上用户创建帐户时生成的一些随机令牌,但是这样会安全吗?进行此操作时是否有最佳实践?
用户的电子邮件也只能存储为哈希。
因此,为了澄清我的问题,如果密码丢失,是否有恢复用密码加密的数据的最佳实践?
安全性将降低到您存储"随机令牌"的方式,我认为它根本不安全。没有最佳实践。你可以把主密码写在一张纸上,然后把它锁在银行的保险箱里或者类似的地方。
更简短:如果不信任其他人,就无法为本地密码管理器提供密码重置功能。