恢复签名消息是安全登录过程吗?
Is recovering a signed message a secure login procedure?
以下登录过程安全吗?
- 在服务器上签名消息
- 发送给客户
- 使用元掩码签署消息
- 发回签名
- 从签名和签名的消息中恢复帐户
- 使用恢复的地址作为id
我 运行 使用这个概念最常见的漏洞是什么?
高层次的概念是有效的,但实现细节是关键。例如,考虑重放攻击,攻击者不应该能够使用以前签名的回复。还考虑一个 mitm:服务器发送挑战,攻击者将其转发给客户端,客户端对其进行签名,将其发送给攻击者,现在攻击者可以验证并冒充受害者。这意味着它需要一个安全通道,客户端已经在其中验证了服务器(即 https)。等等,关于如何实现这一点有很多细节很重要。
另请注意,这与 webauthn 的功能有关。
以下登录过程安全吗?
- 在服务器上签名消息
- 发送给客户
- 使用元掩码签署消息
- 发回签名
- 从签名和签名的消息中恢复帐户
- 使用恢复的地址作为id
我 运行 使用这个概念最常见的漏洞是什么?
高层次的概念是有效的,但实现细节是关键。例如,考虑重放攻击,攻击者不应该能够使用以前签名的回复。还考虑一个 mitm:服务器发送挑战,攻击者将其转发给客户端,客户端对其进行签名,将其发送给攻击者,现在攻击者可以验证并冒充受害者。这意味着它需要一个安全通道,客户端已经在其中验证了服务器(即 https)。等等,关于如何实现这一点有很多细节很重要。
另请注意,这与 webauthn 的功能有关。