验证神锁离线版插件的安全机制

最新推荐文章于 2022-11-09 15:53:26 发布
最新推荐文章于 2022-11-09 15:53:26 发布
阅读量393 收藏
点赞数
分类专栏: 密码安全与管理 文章标签: 安全 密码学 信息安全 数据安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxaqycc/article/details/112196113
版权

在这里插入图片描述

“在互联网上,没人知道你是一条狗”。知名国际大厂也未必像他们说的一样保护我们的数据安全:

备受舆论压力的大厂都这样,那管理所有密码的密码管理器能放心吗?神锁离线版插件声称采用了端到端加密技术,连内部员工都无法偷取用户密码是不是真的呢?

来,我们告诉你怎么亲手验证我们的安全技术!

神锁离线版可能是唯一一个能告诉用户怎样验证安全技术的密码管理器。

不用太担心不懂技术细节,只需要有一点耐心,就可以和我们一起动手做实验!

在这里插入图片描述

比萨斜塔 来自 Saffron Blaze

首先,本次实验的目的是验证:

  • 密码会不会偷偷发送给服务器?
  • 如果没有直接发送密码,会不会把密钥偷偷发送给服务器?

基本原理

回顾一下神锁离线版插件架构和原理:

在这里插入图片描述

我们在app中选择要填充的账号后,用户名和密码是怎么从手机发送到插件的呢?

  1. app加密用户名和密码等信息;
  2. app启动手机浏览器,通过浏览器打开网页程序,将要传输的加密数据发送到云端;
  3. 插件从云端接收到加密数据后,解密出用户名和密码,填充到网页中。

插件实现端到端加密(End-to-end encryption, E2EE)的关键在于借助ECDH算法,可以在插件和app(下图中Alice和Bob)之间建立共享的加密密钥,确保通信安全。

在这里插入图片描述

来自 David Göthberg

主要步骤:

  • app和插件分别生成一次性的椭圆曲线(ECC)密钥对
  • 交换可以公开的公钥(Public Key)
  • 使用自己的私钥(Private Key)和对方的公钥(Public Key),生成相同的加密密钥(shared secret)

实验准备

实验条件:安装并使用神锁离线版app和插件。

以 Edge 浏览器为例,先设置断点,以便截获传输数据进行分析。步骤如下:

  1. 从浏览器菜单中,找到 扩展,打开插件管理界面
    在这里插入图片描述

  2. 在插件管理中找到神锁离线版,点击 背景页 链接,打开浏览器调试窗口
    在这里插入图片描述

  3. 设置截获数据的断点:
    在这里插入图片描述

    这里稍微麻烦一点,点击4次,分别选择:

    1. 源代码(Sources),
    2. 页面(Page),
    3. 程序脚本(background.js),
    4. 找到onServerMessage 函数的定义,在左边行号上点击,设置红色的断点。

实验操作

  1. 浏览器中打开登录网页 http://www.stealmylogin.com/demo.html ,会看到扫码填充框

在这里插入图片描述

  1. 使用神锁离线版app扫码,app从二维码中可以得到正在填充的网站域名和插件公钥

    实验中不要使用真实账号密码,以防泄密给第三方网站。

  2. 选择账号后,app会打开手机浏览器开始填充。点击浏览器的地址栏,复制地址并记录下来。地址有点长,大概是这个样子:

https://app-link.bluespace.tech:8081/remote-fill/index.html#a=&t=1609300964&host=www.stealmylogin.com&to=15579832-e41c-4b17-8615-b6507a02dd4b&key=MHYwEAYHKoZIzj0CAQYFK4EEACIDYgAELzVA%2B9q

最低0.47元/天 解锁文章
神锁离线版
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
神锁离线-crx插件
04-03
语言:English,中文 (简体) 欢迎使用最安全的密码管理器插件。使用神锁离线在浏览器中安全的填充密码。 使用智能手机上的神锁离线扫描二维码,自动填充浏览器中的登录框。如何工作?1. 打开有登录框的网页时,插件会展示一个二维码。2. 使用智能手机上的神锁离线App(不是这个插件)扫描网页上的这个二维码。3. 在手机App中选择要填充的账号信息。4. 登录信息将被自动填充到网页上的登录框中。有多安全?当使用手机扫码登录时,你的密码会被加密,加密密钥只有此插件和扫码的App知道。在密码从手机端发送到浏览器的网络传输过程中,不可能被其他恶意程序解密。神锁离线插件不同于其他密码管理器插件。此插件不会保存任何密码。你的密码只会保存在智能手机上,并受到智能芯片和操作系统沙盒保护。任何密码都不可能被偷偷发送到浏览器,除非经过你使用手机上的神锁离线App进行扫码。这意味着,任何桌面端的恶意程序或网页,都不可能在你不知情的时候偷取密码。
斩月网络验证 最新1.15 离线验证 无壳不联网
07-17
斩月网络验证是一款完全免费的Windows网络验证,无联网限制,故无跑路风险,拓展性极强,无壳,故性能损失为0,对标同类所有收费系统 支持保存自定义键值,易于移植到各个语言使用 特点: 支持5种计费模式,返回值自定义加解密 数据库内容自定义 1:账号登录 2:卡密登录 3:扣点模式 4:扣时模式 5:类似大漠的计费机器扣点模式 是目前市面上功能齐全且稳定更新的一款强大的网络验证,Windows系统用,数据库rocksdb,鱼刺websocket 优势:开箱即用,可自定义返回值,自己写插件,性能强,稳定6W同时在线用户 没有最大并发线程数限制 没有最大连接数限制 单论性能 强于E2EE 强于其他框架服务端 稳定性和效率还是很优秀的 优于E2EE 很多时候软件更新,并不需要整体更新,很可能只是一些数据变化,而websocket带来的实时性,可以服务端直接给在线用户发送消息而达到数据更新的目的,也避免了整体更新的不必要,如果是脚本语言,那么可以直接实时帮助用户更新,同时也避免了其他方式轮询对服务器带来的负担 希望这款验证,能满足你的一切需求,节省你的开发时间(请勿用于非法用途)
神锁离线密码管理器—创新数据保护技术
lxaqycc的博客
06-09 437
相比其他密码管理器,安全优势表现在哪?
智能门锁生成临时密码不需要联网实现原理
热门推荐
qq_29062045的博客
04-08 2万+
智能门锁生成临时密码不需要联网实现原理,手机端在登录门锁管理app时,就要求输入管理员密码,手机端就会按照 xxx算法+管理员密码+过期规则(简称三要素)生成密码,生成后也不需要将密码传输到门锁端,这套xxx算法和过期规则在门锁出厂时就写入门锁的存储芯片里了。门锁安装好的时候,门锁就会提示输入管理员密码。此时,手机端和门锁端就会拥有一样的三要素,手机端按照按照三要素生成一定有一定规律的随机密码,门锁端对输入的密码按照三要素进行解密,从而实现门锁的密码验证。感兴趣的老铁可以看一下 计算机网络-信息安全-对称加
支付宝微信离线支付算法猜想
心相印的专栏
09-19 2993
猜想原理 以支付宝为例,只要之前有一次用这个支付宝钱包账号买过东西,自动售货机就可以记住,并进行识别(猜测是用了一个标志码来唯一识别)。 设计猜想一 用户在支付宝上绑定自己的银行帐号及个人信息; 用户帐户信息在绑定时已上传到支付宝后端服务器;  客户端离线本身没关系,客户端只是生成用户的帐户信息,转化成一个可扫描的二维码/条形码; 商户端获取用户帐户信息向支付宝后端服务
在线离线算法
博採眾長
08-11 1万+
在线算法 在线算法是指它可以以序列化的方式一个个的处理输入,也就是说在开始时并不需要已经知道所有的输入。 在计算机科学中,一个在线算法是指它可以以序列化的方式一个个的处理输入,也就是说在开始时并不需要已经知道所有的输入。相对的,对于一个离线算法,在开始时就需要知道问题的所有输入数据,而且在解决一个问题后就要立即输出结果。例如,选择排序在排序前就需要知道所有待排序元素,然而插入排序就不必。 因...
算法分析:特殊密码锁问题
Iris54Iris的博客
07-21 397
上机代码: #include<iostream>   #include<cstring>   #include<algorithm>   using namespace std;   #define N 32 void SetBit(char &c){  //翻转按钮函数     if(c=='0') c='1';     else c='0'; } ...
多媒体文件加密器离线授权
chinadrm的专栏
04-09 725
操作系统:windows2000/2003/xp/vista文件大小:1410K语言:简体中文下载地址:http://www.china-drm.com/products/EncodeOffline.rar软件作者主页:http://www.china-drm.com联系方式:drmchina@yahoo.com.cn 您可以使用本系统保护您的多媒体文件、课件等,支持所
天盾网络验证726免费.zip
06-30
8、 [修复] 辅助_取唯一机器码()重复率过高,推荐 验证_初始化()命令后加一句 辅助_置机器码(辅助_取唯一机器码_MAC() +辅助_取唯一机器码_硬盘特征()) 9、 [优化] 优化成品加验证工具,加劫持补丁后会一...
DZ插件 头像 邮箱验证提醒 商业.zip
11-15
discuz插件 头像 邮箱验证提醒 商业 价值50元
js安全验证插件
11-14
js安全验证插件
2022年数据库安全管理身份验证机制.pptx
11-03
2022年数据库安全管理身份验证机制.pptx
在线算法&离线算法
weixin_34080571的博客
08-01 722
【在线算法】 定义:指用户每输入一个查询便马上处理一个查询。该算法一般用较长的时间做预处理,待信息充足以后便可以用较少的时间回答每个查询。 常见在线算法:ST算法 【离线算法】 定义: 转载于:https://www.cnblogs.com/xzxl/p/7271550.html...
离线密码破解之John the Ripper
马赛克的博客
04-04 3526
前言: 密码破解技术总体上有两大类 1.在线密码破解,通过发送正确的账户和密码进行破解,常用的工具有Hydra和Medusa 2.离线密码破解,独立攻击密码散列(hash) 关于在线密码破解,可以参考:https://blog.csdn.net/qq_39112646/article/details/88664630 步骤: 定位并下载目标系统的密码散列文件...
端到端加密比HTTPS更安全
lxaqycc的博客
11-18 1220
端到端加密比HTTPS更安全 一、HTTPS/TLS介绍 1.HTTPS/TLS是什么?有什么用? 浏览器打开的网页如果使用了安全的HTTPS,地址栏会显示一个漂亮的锁 ???? 如果没有使用HTTPS,而是使用了不安全的HTTP,地址栏会提示不安全 这么说吧,如果没有HTTPS/TLS,钱是不能上网的。我们日常使用的网银、支付宝,十有八九会被盗。 有兴趣的话,看看维基百科的说明: HTTP 超文本传输协议(英语:HyperText Transfer Protocol,缩写:HTTP)是一种用于
开源KeePass密码管理器的风险
lxaqycc的博客
04-11 1197
开源不是金钟罩
开源密码管理器更安全吗?(1)
lxaqycc的博客
09-06 1172
由于存在一些隐蔽的角落,作为用户,我们很难确保开源App就是绝对安全的。
开源密码管理器更安全吗?(2)
lxaqycc的博客
11-09 861
密码管理器怎样保护我们的密码?
notepad离线json插件
最新发布
09-04
比如,你可以使用这些插件验证JSON文件是否具有正确的键值对结构或是否遵循特定的数据类型规范。 还有一些插件可以提供JSON格式化(formatting)功能,可以将不规范或混乱的JSON数据整理成易读性更强的格式,让...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值