我想自己实现一个“密码管理器”

2014-12-26 13:18:56 +08:00
 gno23x
我想自己造个“密码管理器”的轮子,通过Web实现,不考虑类似LastPass的自动填充的功能,只用于存储密码。

我初步设想是这样的:

- 只需要记住一个密码,暂且称之为“last pass”好了。
- “last pass”通过PBKDF2函数生成一个key,这个key用于AES加密,这个key我们称之为“PBKDF2 key”
- “PBKDF2 key”用来加密(使用AES算法)另一个key,这个“另一个key”我们用来加密(也是使用AES算法)我们在各个网站的登录密码(或其它需要加密的密码),“另一个key”我们称为“password key”
- 需要一个密码(比如GitHub的登录密码)的时候,输入“last pass”,通过PBKDF2函数得到“PBKDF2 key”,然后用“PBKDF2 key”去解密加密后的“password key”,最后通过解密得到的“password key”去解密我们存储的密码
- 全站https

除了密码管理以外,还有一个想整合进去的功能,就是为每个网站生成一个唯一的用户名,增加社工的成本。

不知道这个设计有没有缺陷,想听下大家的看法。 :)
6941 次点击
所在节点    奇思妙想
46 条回复
endoffight
2014-12-27 13:21:45 +08:00
keepass 的手机客户端啊,osx啊什么的
gno23x
2014-12-27 13:36:36 +08:00
@kstsca 只考虑存储哈。不过感谢 @silver @endoffight 提醒,才知道KeePass有Android客户端,虽然是非官方的。
llbxwj
2014-12-27 14:06:17 +08:00
试试花瓣
llbxwj
2014-12-27 14:09:15 +08:00
错了,是花密
KentY
2014-12-28 23:31:05 +08:00
@gno23x 是的,需要电脑。现在我是通过dropbox同步,多台电脑用着还挺好。 没弄手机的程序,我自己不怎么用的上。
AlexaZhou
2014-12-30 13:05:39 +08:00
很早之前我也自己实现了一个,和LZ的思路基本一致,不过是本地运行的。因为我觉得密码这些东西通过web来处理不太安全
传送门:code.google.com/p/text-encrypt

后来换Mac之后发现系统自带的安全备注很好用,就没继续用这个

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/156853

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX