Делать такое приложение было немного отчаянной затеей, учитывая, что я не специалист ни в криптографии, ни в информационной безопасности. Но все же, мне было интересно написать менеджер паролей с веб интерфейсом. Поэтому, прочитав для храбрости книжку CRYPTO101, за пару вечеров я все-таки совершил задуманное.
Приложение использует Web Crypto API. Пользователь генерирует несколько секретных ключей (на клиенте), скачивает их в виде файла и хранит этот файл в безопасном месте локально на компьютере. Имея на руках секретные ключи, пользователь может добавлять пароли в менеджер. Все пароли, включая их описания и домены, которым они принадлежат, зашифрованы синхронным алгоритмом шифрования с использованием секретных ключей, хранящихся локально на компьютере пользователя. В базе данных на сервере все поля хранятся в таком зашифрованном виде.
Излишне было бы предупреждать, что пользоваться этим приложением не стоит.