常用的各种密码管理软件能信任吗?简单粗暴地撸了个密码管理的工具,求吐槽

2016-06-30 21:36:40 +08:00
 feixchow
各种常用的密码管理软件能信任吗,尤其是带云存储功能,密码存在云端就安全吗?
自己简单粗暴地撸了个密码管理的工具,欢迎大家来吐槽

目前的想法:
* 防止密码被社工
大多数人设置的密码都包含个人隐私信息(姓名,生日等),而这些信息是有限的,防止黑客获取到隐私信息后猜解密码

* 不同网站使用不同密码
防止一个网站被脱库,导致所有网站账号都被攻破

* 防止设置密码的习惯泄漏到互联网中
每次设置密码的时候都要抓耳挠腮想半天

Gayhub 地址 https://github.com/feix/Genpass
9060 次点击
所在节点    分享创造
82 条回复
binux
2016-07-01 08:34:57 +08:00
@lslqtz
「世界上又多了一个不懂密码学就瞎折腾出来的作品」

1. 多次 hash 并不会增加强度
2. 同时使用 MD5 和 SHA1 ,会降低 SHA1 强度,即使你最后用的是 SHA1 ,有效空间也只有 MD5 的 128 bits
coffeecat
2016-07-01 08:41:49 +08:00
自己撸了一个离线版,自己用。。。一站一密,缺点是需要手机才能登陆。
ytpfxnj
2016-07-01 08:56:05 +08:00
用这种办法生成随机密码,简单

http://imgur.com/a/LeliZ
loca1h0st
2016-07-01 08:56:12 +08:00
@lslqtz 没有 sql 注入要考虑 xss 啊, 2333
loca1h0st
2016-07-01 08:56:35 +08:00
@lslqtz 简单测试下,勿怪
3dwelcome
2016-07-01 09:38:33 +08:00
"1. 多次 hash 并不会增加强度 "

我不认可这条说法,虽然多次 hash 并不会改变冲撞的概率,但黑客一般都是会先尝试字典攻击,而不是随机暴力概率攻击。

进行单次 SHA1 和 99 次的 SHA1 计算,明显后者黑客的破解代价更高,也更安全。

“安全"这个概念是相对的,让破解流程和代价足够复杂,比如 D 加密,也是变相增加安全系数。
spongebobsun
2016-07-01 10:10:23 +08:00
咦,我也撸了一个,还没发布,正在打磨中~

顺便问下各位大神,不懂密码学,直接上 bcrypt 去加密解密,这样有问题么~
megatron
2016-07-01 10:14:11 +08:00
多次 hash ,黑客一样可以使用字典攻击。
3dwelcome
2016-07-01 10:26:01 +08:00
@megatron

两者计算量不一样啊,同一份字典,多次 hash 计算量要大很多。这就是安全系数。
feixchow
2016-07-01 10:32:27 +08:00
@lslqtz 哈哈,有意思
feixchow
2016-07-01 10:33:07 +08:00
@dejavu 多谢
Soar360
2016-07-01 10:41:39 +08:00
就不吐槽自己写加密算法和受迫害妄想症了。。。
我用 LastPass ,多终端同步,一个主密码,网站、应用自动填充。
感觉还好。是因为我没有被攻击过么?
feixchow
2016-07-01 10:50:28 +08:00
@loading KeePass 目前的功能实现已经很完善了,有能力当然会协助改进;但是各种导出导入数据库文件,在设备比较多的时候感觉特别烦啊
feixchow
2016-07-01 10:52:10 +08:00
@loading 而且这个应该还谈不上自主产权吧,仅仅是一个小尝试,😅
ppwangs
2016-07-01 10:52:59 +08:00
搞得好复杂,反正我所有普通网站密码一样,网银的不太一样。。
我不担心被破解,只要不涉及到资产,就没什么。
---
很多人吐槽网站输错密码提示“账户或密码错误”,这其实就是防止暴力
bp0
2016-07-01 10:53:00 +08:00
@3dwelcome 只要黑客的字典里面有你的密码,单次 HASH 和多次 HASH 是一样的,除非每次 HASH 的时候都加不同的盐。
googlebot
2016-07-01 11:05:55 +08:00
密码软件主要功能是防止自己忘密码,不是为防黑客,
feixchow
2016-07-01 11:13:08 +08:00
@googlebot 同感,一是防止忘记密码,二是可以多网站多密码,三是不需要费力考虑如何构造密码
leloext
2016-07-01 11:14:49 +08:00
Hash 就不是为安全性而出现的。不过我认为每次 hash 都会丢失掉原始的信息,数学渣无法算出极限下的情况,请数学大神来推理一下。
3dwelcome
2016-07-01 11:30:33 +08:00
@leloext

老外有测试的方法,就是随机生成一亿数据,然后对数据进行 md5()或者 md5(md5()),然后看结果集里相互冲撞的数量,越少证明对原始信息的保护性越好。

老外提供了一个结果, md5 每递归一次,能保持 98%的原始数据信息。我也没验证过-_-

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/289459

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX