我们如何保护您的密码?

2019-11-06 06
用户的密码永远不会离开他或她的设备,而Boxcryptor永远不会在任何地方提交密码。密码用于两个目的:用户身份验证和用户私钥的解密。在这两种情况下,Boxcryptor都不使用密码本身,而是使用称为密码密钥和密码哈希的派生词。

密码键

Boxcryptor使用具有HMACSHA512、10000次迭代和随机24字节盐的密钥扩展和增强标准PBKDF2从密码中派生出强大的加密密钥。密码密钥用于解密用户的专用RSA密钥。

密码哈希

具有HMACSHA512和5000次迭代的PBKDF2也用于从密码中导出密码哈希。然而,在这种情况下,使用了不同的盐。为了导出密码哈希,使用了盐,该盐是用户电子邮件地址和特定于应用程序的盐的组合。密码哈希对用户进行身份验证。 总之,当您想在登录Boxcryptor时进行身份验证时,您的密码将被散列并以这种散列形式发送给我们。在将哈希值存储到我们的数据库之前,我们将再次对其进行哈希处理,以使潜在的攻击者更难弄清密码。