常用的各种密码管理软件能信任吗?简单粗暴地撸了个密码管理的工具,求吐槽

2016-06-30 21:36:40 +08:00
 feixchow
各种常用的密码管理软件能信任吗,尤其是带云存储功能,密码存在云端就安全吗?
自己简单粗暴地撸了个密码管理的工具,欢迎大家来吐槽

目前的想法:
* 防止密码被社工
大多数人设置的密码都包含个人隐私信息(姓名,生日等),而这些信息是有限的,防止黑客获取到隐私信息后猜解密码

* 不同网站使用不同密码
防止一个网站被脱库,导致所有网站账号都被攻破

* 防止设置密码的习惯泄漏到互联网中
每次设置密码的时候都要抓耳挠腮想半天

Gayhub 地址 https://github.com/feix/Genpass
9060 次点击
所在节点    分享创造
82 条回复
lslqtz
2016-07-01 11:46:22 +08:00
@feixchow 页面没看到回复,没考虑 xss ,是我的失误。
个人表示,只要站不被拿下就 ok 。
lslqtz
2016-07-01 11:47:01 +08:00
艾错,@loca1h0st 。
没收到提醒。。
我的目的是站不被拿下,这是随手写的,懒得那么完善,
lslqtz
2016-07-01 11:47:08 +08:00
lslqtz
2016-07-01 11:49:21 +08:00
@binux 是瞎折腾啊。。
但是配合上这么多层加密,也不一定能那么容易撞开吧。
lslqtz
2016-07-01 11:52:58 +08:00
@loca1h0st 我的目的是只要密码不泄露,密码随机强度够安全,站不被拿下就 ok 。
关于密码学啥的。。瞎折腾而已,只要加密时的随机密码字符串够安全就没事。
并没考虑到 XSS ,一会给你发个感谢。
lslqtz
2016-07-01 11:58:01 +08:00
ok ,是我的忽疏,忘转义了。。
<del>感觉自己就像个 sb 。。</del>
http://233.dog/f_17550354.png
SpicyCat
2016-07-01 12:23:08 +08:00
keepass 配合 dropbox 跨设备根本没问题。
Lastpass 是存在云端,所以跟钱相关的密码我都不用它存。它胜在方便,所以存一些网站密码。
因为密码在服务器上就担心,真有点受迫害妄想症了。
3dwelcome
2016-07-01 12:29:48 +08:00
和钱相关的、我都自己算 hash,这种帐号也不多。安全第一。
feixchow
2016-07-01 12:34:56 +08:00
@SpicyCat KeePass 配合 dropbox 同步密码文件确实是一个很棒的解决方案
adamwang
2016-07-01 12:43:25 +08:00
@wojiaodaxiaxia 本人?看过你的直播= = #
Clarencep
2016-07-01 13:45:05 +08:00
@lslqtz 从数学上来说,多重 MD5 或多重 SHA 并没有更安全,而可能更不安全 -- MD5 算法本身就会有很多轮( 16 轮)的一个计算,这个轮数是精心挑选的,多一点其实并不会更安全
pezy
2016-07-01 13:55:38 +08:00
也来凑个热闹: http://pezy.github.io/password/, 只用了 SHA-1 加密.

一直自用, 所以设计的很简单.
lslqtz
2016-07-01 14:35:31 +08:00
@Clarencep 只是防止撞库应该够了吧。。就是解出来也是另一个 MD5
kamikat
2016-07-01 14:36:19 +08:00
附 KeePass KDBX 文件结构 https://gist.github.com/msmuenchen/9318327
lslqtz
2016-07-01 14:36:40 +08:00
@pezy 感觉很好
loading
2016-07-01 14:46:37 +08:00
@feixchow 我没说你这个是主主产权,你这个是我上面话中的“轮子”…
muziling
2016-07-01 15:15:59 +08:00
@pezy 好像还是在访问网站的时候,需要进入密码生成页面,输入 user, app, 1pass ,生成一下密码,然后复制出来。
感觉没有改进你说的如下问题。

我依然采用自己设计的规则管理密码,如微博、 QQ 、知乎、豆瓣、百度等等,我不想每一次浏览器缓存失效时,都掏出手机,输入长长的主密码,然后翻到要找的网站,然后显示该密码。本来是一个直接登录的简单过程,却生生因为所谓的安全性,变得极其复杂。就如一台高效运转的新操作系统,偏偏要给它装上一大堆杀毒软件,各种安全卫士,让其生生变成一台“卡巴斯基”。真不知道这是否得当。
pangliang
2016-07-01 15:51:54 +08:00
安全不安全, 不取决于你用了什么复杂的算法; 而在于是否会被别人轻易的知道你用的是什么算法;
所以, 在你不会加壳, 不会反反编译等等情况下; 你用 100 次各种算法的组合什么的都是徒劳
pezy
2016-07-01 15:53:29 +08:00
@muziling 我抱怨的问题是, **我的 1Password 仅有手机端**, 而我最经常需要密码的时刻都是在 PC 端上网时, 麻烦之处在于:

1, 掏出手机麻烦
2, 对着手机上毫无规律的字符串, 照着抄都容易出错, 还慢.

而我设计了网站之后, 可以通过收藏夹随时调出该页面, user, app, 1password 都是我极其熟悉的信息, 敲入过程非常快. 最后生成的密码, 也是一键复制, 粘贴即可. 省去了我大量的时间. 如果是手机上用密码, 也是一样, 网页的快捷方式可以直接固定在首屏, 打开之后, 输入三样信息, 然后就可以复制密码了. 某种意义上讲, 这也是一种跨平台的应用...

当然这仅仅只是针对我个人的需求, 就像上面那么多人都用了基于云的 Lastpass, 或是用了 Dropbox 同步 keepass 的方式, 也都不存在我抱怨的问题, 只不过, 方便快捷与否, 因人而异了. 至少我觉得足够了.
soratadori
2016-07-01 19:11:21 +08:00
我觉得 lastpass 很安全,完全搞不懂这种折腾的意义在哪

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/289459

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX