做了一个 lastpass 的二次加密,防范密码被周围人看到

2016-05-17 09:15:15 +08:00
 rekulas

http://git.oschina.net/splot/dopass 核心是 js 改写的著名的 php authcode 异或加解密方法,再加入了自定义 key ,安全系数极高,虽然知道 lastpass 存储的信息是已经加密了的,理论上就是 lastpass 的管理员也获取不到用户密码,但是作为一个有强迫症的程序员,始终不放心把明文信息给第三方加密。除此之外,还可以防范周围人(比如同事)"不小心"看到你的隐私密码。为了安全, lastpass 本身的密码是设置的比较复杂的,但是二次加密就可以简单点了,这样在略微影响体验的情况下增加了安全性。
http://git.oschina.net/splot/dopass/tree/lastpass_v3.2/
这个就是把 dopass 和 lastpass 结合起来的插件,效果如下

除此之外,我还拓展了新的用途,比如把 vps 的登录信息存储在笔记中,然后加密存储

甚至我连信用卡 公积金卡等各种卡的信息也存在 lastpass 里面,很多都不需要用 evernote 了

不过这样有个问题就是只能在电脑上使用,又舍不得购买 lastpass 会员,所以我又自己写了个小程序,把 lastpass 的数据导出来自己做了个安卓 app(数据也都是加了密的),然后 app 用 dopass 解密(幸好用的 js ,跨平台无压力)

2613 次点击
所在节点    程序员
4 条回复
ryd994
2016-05-17 10:41:12 +08:00
真要安全请用硬件密钥
无论怎么折腾,密码最终还是可读可解密的,而且解密所需的密钥的复杂度是人力范围内
和硬件密钥不可读、试错自毁,完全不是一个级别

数据安全用 gpg+智能卡
vps 可以用 gpg-agent 登录
密码我用 kwallet ,用 gpg 后端

重复造轮子……
rekulas
2016-05-17 10:48:39 +08:00
@ryd994 硬件的话 对体验影响太大了 至少以目前的技术我是不会使用的
未来几年如果能够脑波验证 倒是可以考虑
ryd994
2016-05-17 11:08:17 +08:00
@rekulas 并没有影响,比输密码更简单
yubikey
annielong
2016-05-17 11:48:40 +08:00
想起很早之前自己曾用过的加密方法, MD5 出 16 位密码只输出 10 位,哈哈
直接出超长密码不一定安全,有些代码写的不严谨的话会出问题,修改密码的时候可以输入 16 位,但是前台登录就不认 16 位,以前某戴尔笔记本的 cmos 密码,还有 dnspod 某段时间的密码,都是这样,修改密码成功了,但是登录时候就出错。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/279123

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX