一个绝对安全的账户密码管家小程序

2020-11-27 15:40:44 +08:00
 xfgk
微信小程序名字: 帐密管家
1 、服务器存储的是非对称加密后的密文。
2 、私钥由用户保管,不会上传到服务器。
3 、公钥由一定的规则生成,跟用户的微信 ID 有关,每个人的公钥都不相同。
4 、只要微信号不注销,账户密码资料随时可查。
大家可以试试,完全免费,便利且绝对安全。
8770 次点击
所在节点    分享创造
120 条回复
rap16
2020-11-28 11:49:28 +08:00
@poxiaobbs 开源了也不知道存没存
lvybupt
2020-11-28 11:50:16 +08:00
密码学里,敢于把算法公开,允许敌手尝试尝试加密( CPA )和用户持有自己的私钥去攻击别人的私钥( CCA )是两种最基本的要求。 而且并不是达到了 CCA,就能号称安全。 只敢放出数据和公钥,流程和生成规则一概不敢公布的方案,默认不安全。

ID 生成公钥,再产生私钥的方案一般叫做 IBE (基于身份的加密),该类型有一个非常严重的天生缺陷叫“密钥托管问题”,也就是用户得无条件的相信给他产生私钥的“你”。 解决密钥托管,往往采用双服务器或者其他一些方式,楼主这个不自建服务器的小程序甚至都达不到带有密钥托管问题的安全的 IBE 方案应有的安全性。

@geelaw 你这个头像和 ID 我在知乎上见到过。
lvybupt
2020-11-28 12:03:23 +08:00
楼主如果没用 IBE,只是普通的公钥加密( RSA,或 ECC ),用 ID 生成公钥替换了原有算法的随机生成,再去算私钥的话,那么公钥生成阶段,方案就已经弱化的穷举都能硬破了。进一步的,密码协议至少也还有前向安全性或者后向安全性要被保证。
jwenjian
2020-11-28 13:01:45 +08:00
绝对安全这个说法确实不太合适,如果你想表达的是:私钥只有用户手里有,用户把自己的密码明文用私钥加密,把密文保存起来,这样只要用户的私钥不泄漏,就算有人能黑进微信的服务器把你的应用的云数据库里面的密文拿到,也解不开用户原始的密码明文,而且要在你使用的非对称加密算法不被攻破的前提下,用户的密码明文数据是安全的,那确实没啥大问题。
ddefewfewf
2020-11-28 14:13:02 +08:00
微信这个软件就不安全 里面的东西何谈安全
XiLingHost
2020-11-28 14:39:09 +08:00
腾讯系的产品本身就不安全啊,你还不如搞个 bitwarden 呢,至少人家开源可以审计
Varobjs
2020-11-28 15:00:43 +08:00
密码这个问题在 v2 已经是月经贴了。
chinvo
2020-11-28 15:11:05 +08:00
@geelay #30 @jwenjian #81 他的方案无外乎公钥加密私钥解密或者私钥加密公钥解密

如果是公钥加密私钥解密, 那么在用户本身不能控制私钥的情况下就是绝对不安全

如果是私钥加密公钥解密, 那么在公钥是由 openid "推导" 出来的情况下, 恶意用户完全可以推导出任意用户的公钥进行解密

如果他用的不是 IBE, 而是用了 @lvybupt #80 假设的傻子方法, 私钥的可靠性又会直线下降, 甚至出现私钥可以通过几次尝试就能计算得出的情况.
chinvo
2020-11-28 15:12:58 +08:00
更何况不管是上面猜测的哪种方法, 作为对程序有绝对控制权的楼主, 都有能力推导出任意用户的公私钥, 甚至不需要通过客户端代码埋雷的方式偷偷上传用户私钥.
xfgk
2020-11-28 15:42:13 +08:00
我只是想方便且安全的保存用户账户密码,当然不要扣字眼说没有绝对安全,这里这么多真的和假的大神,如果不能获取到明文数据,那不就够安全了嘛。说微信封号的、小程序下架的都是钻牛角尖,真那样了又能怎样?丢了密文也无所谓的吧?还有私钥的问题,这个没上传,也不会上传,且无法推导出来。最后,你的密码不一定要写全,比如 123456 的密码,你可以写成 1****6 不是?软件的初衷是方便安全的记录帐密数据,这么做还不够安全?
v2lhr
2020-11-28 15:50:13 +08:00
借楼推荐下这个开源的账号密码小程序: https://github.com/aab0/zhanghaozhushou
JCZ2MkKb5S8ZX9pq
2020-11-28 15:50:22 +08:00
只要微信号不注销…… 这个前置条件有点悬

而且小程序没办法跟系统交互,嵌入浏览器插件估计都要兜圈子,微信登陆不知道通不通用,使用的便利程度也是问题吧。
xfgk
2020-11-28 15:52:34 +08:00
@jwenjian 明白人。。。想拿明文关卡重重,估计没人能做到。而且明文可以部分替换成用户才知道含义的星号,小程序就是图方便和安全。就算我把一条记录的密文放在这里,也没人能解开,这还不够安全吗?
xfgk
2020-11-28 15:53:50 +08:00
@JCZ2MkKb5S8ZX9pq 你的微信会很大概率被腾讯关掉无法登陆吗?真那样你损失的是密文而已,有啥大不了的
morizawatt
2020-11-28 15:54:40 +08:00
没有背书 谁敢随便放。
cmdOptionKana
2020-11-28 15:59:58 +08:00
@xfgk 如果全世界只有你做的这个密码管理工具,那么一些不太重要的密码,用你这个,安全性是够了。

但你想想,用户还可以选择 1pass, keepass, lastpass, bitwarden ... 等等,对比而言,站在一个不认识你的普通用户的角度,你这个是不是安全性最低?
Cielsky
2020-11-28 16:09:58 +08:00
@InternetExplorer 釜底抽薪👍
webshe11
2020-11-28 16:37:59 +08:00
这贴子都在首页两天了,有没有闲得蛋疼的 V 友逆一下 wxapkg,随便搞搞教楼主做人
看楼主这语气像刚学密码学的,算法估计不会太复杂
(我暂时没空搞,快毕不了业了,来这纯属摸鱼)
xfgk
2020-11-28 16:42:13 +08:00
@webshe11 又来一个言之凿凿然而没空的。
webshe11
2020-11-28 16:55:32 +08:00
另外上午打开这个小程序随便玩了两下,仅仅从程序功能猜测:
可能楼主说的“私钥”“公钥”“非对称加密”和我们理解的不太一样,这个“私钥”是用户需要记住并输入的,搞不好就是个对称加密,用“私钥” AES 加密一波,服务端再用微信 ID 对密文再加密一波
根本用不着 IBE RSA

另外楼主别 at 我,我是真毕不了业了,另外年龄大了已经不会被激将、激怒了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/729899

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX