常用的各种密码管理软件能信任吗?简单粗暴地撸了个密码管理的工具,求吐槽

2016-06-30 21:36:40 +08:00
 feixchow
各种常用的密码管理软件能信任吗,尤其是带云存储功能,密码存在云端就安全吗?
自己简单粗暴地撸了个密码管理的工具,欢迎大家来吐槽

目前的想法:
* 防止密码被社工
大多数人设置的密码都包含个人隐私信息(姓名,生日等),而这些信息是有限的,防止黑客获取到隐私信息后猜解密码

* 不同网站使用不同密码
防止一个网站被脱库,导致所有网站账号都被攻破

* 防止设置密码的习惯泄漏到互联网中
每次设置密码的时候都要抓耳挠腮想半天

Gayhub 地址 https://github.com/feix/Genpass
9060 次点击
所在节点    分享创造
82 条回复
fcicq
2016-06-30 21:51:55 +08:00
世界上又多了一个不懂密码学就瞎折腾出来的作品
feixchow
2016-06-30 21:58:49 +08:00
瞎折腾是真的,不懂密码学是真么看出来的呢,😂
herozzm
2016-06-30 22:00:57 +08:00
keepass 挺好的,离线的
niko
2016-06-30 22:01:33 +08:00
@herozzm +1024
rekulas
2016-06-30 22:01:37 +08:00
http://git.oschina.net/splot/dopass/tree/lastpass_v3.2
我也有和你一样的担心 不过我撸的是针对 lastpass 密码管理的二次加密,二次加密后再上传给第三方加密,安全性提高数倍
国内也有个花蜜的可以实现高安全因为是动态生成不存在泄露问题,不过我经常用密码管理软件记录一些个人信息所以不适合我
fcicq
2016-06-30 22:01:45 +08:00
给后来者看:
shapass=$(echo -n ${username}${concat}${keyword}${concat}${passphrase} | sha256sum | awk '{print $1}')

然后后面取值的时候竟然不是进制变换, 是每两位 hex 然后取可显示的部分.
rekulas
2016-06-30 22:03:03 +08:00
看了下貌似也是和花蜜一样动态生成?
lslqtz
2016-06-30 22:04:39 +08:00
挂在内网就不怕不懂密码学了,明文都没事。
@fcicq 你说是吧(滑稽
fcicq
2016-06-30 22:08:05 +08:00
@lslqtz 所谓"挂内网"的最终解法其实是 HSM 对吧.
lslqtz
2016-06-30 22:09:59 +08:00
@fcicq 我的密码是维护在多台设备的文本上的。。 2333
在 vps 上挂个 HTTP 认证然后放密码 只开放 80 也没啥问题。
wevsty
2016-06-30 22:57:55 +08:00
keepass 还是值得信任的
网站名+密码取 hash 的做法还是有些问题,要是某些要素忘记了就不好办,泄露了也不好改
GhostFlying
2016-06-30 23:05:24 +08:00
@lslqtz 重放,至少得搞个证书吧。。
lslqtz
2016-06-30 23:05:49 +08:00
@GhostFlying HTTP 认证是得上 HTTPS 。
GhostFlying
2016-06-30 23:08:04 +08:00
@lslqtz 不过这种 web based 的现在有 KeeWeb ,其实就是 KeePass 的 web 客户端
rhin0
2016-06-30 23:09:59 +08:00
google 下 random symbol generator ,各种大小写、数字字符都勾选了,生成十几行随机密码。打印出来,狡兔三窟,存成 txt ,放开启两步验证 googledriver/ dropbox 里,安全得很。只要记住用随机密码阵列你选取的密码的坐标即可。
feixchow
2016-06-30 23:12:35 +08:00
@wevsty 之前也用过 keepass ,有次忘记备份数据库文件,蛋疼的改了好久的密码
alay9999
2016-06-30 23:15:35 +08:00
具有同样想法的神经病一枚。

https://tools.appinn.com/mi-plus.html
feixchow
2016-06-30 23:21:27 +08:00
@alay9999 😄,功能好多,看来花了不少心思;一对比,我这简直简陋
feixchow
2016-06-30 23:30:14 +08:00
@fcicq 进制转换指的是?最后生成密码必须要转成可打印字符,要不没法用啊
```shell
((num=16#${shapass:$i:2}))
```
alay9999
2016-06-30 23:30:53 +08:00
@feixchow 然而懒成了狗,各种扩展客户端虽然心里有想法,然而一直并没有做








所以一直被人称作坑王……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/289459

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX