Всем привет. Пишу что-то наподобие сервиса хранения паролей и логинов. В общем основной функционал готов и даже вебморда есть. Но возникла мысль, что надо бы данные шифровать каким-то мастер-паролем, не полагаясь только на надежность аутентификации. Например угнали учетку, авторизовались, а сервер отдаст кашу вместо данных, пароль для расшифровки которой есть только у создателя. Но есть нюансы:
1. Пароль не должен храниться на сервере
2. Забыв пароль лишаемся всех данных
3. Когда спрашивать мастер-пароль? Один раз при авторизации на сайте и запоминать в sessionStorage, или каждый раз при выполнении CRUD операций (идиотизм!!!)?
4. Шифровать/дешифровать перед отправкой или на сервере? (CryptoJS.AES)
Простой
Средний
Простой