Занимаюсь разработкой pet-проекта - менеджера паролей в Web'e. Следовательно браузер клиент, а сервак где-то там далеко.
На данный момент додумал до следующего:
Хранить в БД не только хешированный пароль пользователя, а так же логин. Тогда логин будет только на стороне клиента и не будет передаваться по сети. И хешируя его с солью я могу использовать его как секрет
Но стоило взглянуть на эту идеи чуть более пристально, как я понял, что логин мне надо где-то хранить на стороне клиента , т.е. использовать куки, которые генерит сервер, следовательно логин будет передаваться в открытом виде по сети и вариант отпадает.
Уже сломал голову над этим вопросом, подскажите
Имеется в виду 1) логин пользователя сервиса или 2) логины, пароли к которым юзер хранит в вашей парольнице?
1) Логин пользователя не является секретом, его можно открыто хранить на сервере и на клиенте. По сети передавать через TLS-соединение.
2) Все логины, пароли и прочие данные шифровать на стороне клиента, передавать и хранить на сервере в зашифрованном виде. Ключ генерировать и хранить только на клиенте.