常用的各种密码管理软件能信任吗？简单粗暴地撸了个密码管理的工具，求吐槽

2016-06-30 21:36:40 +08:00

feixchow

各种常用的密码管理软件能信任吗，尤其是带云存储功能，密码存在云端就安全吗？
自己简单粗暴地撸了个密码管理的工具，欢迎大家来吐槽

目前的想法：
* 防止密码被社工
大多数人设置的密码都包含个人隐私信息（姓名，生日等），而这些信息是有限的，防止黑客获取到隐私信息后猜解密码

* 不同网站使用不同密码
防止一个网站被脱库，导致所有网站账号都被攻破

* 防止设置密码的习惯泄漏到互联网中
每次设置密码的时候都要抓耳挠腮想半天

Gayhub 地址 https://github.com/feix/Genpass

8792 次点击

所在节点

分享创造

82 条回复

fcicq

2016-06-30 21:51:55 +08:00

世界上又多了一个不懂密码学就瞎折腾出来的作品

feixchow

2016-06-30 21:58:49 +08:00

瞎折腾是真的，不懂密码学是真么看出来的呢，😂

herozzm

2016-06-30 22:00:57 +08:00

keepass 挺好的，离线的

niko

2016-06-30 22:01:33 +08:00

@herozzm +1024

rekulas

2016-06-30 22:01:37 +08:00

http://git.oschina.net/splot/dopass/tree/lastpass_v3.2
我也有和你一样的担心不过我撸的是针对 lastpass 密码管理的二次加密，二次加密后再上传给第三方加密，安全性提高数倍
国内也有个花蜜的可以实现高安全因为是动态生成不存在泄露问题，不过我经常用密码管理软件记录一些个人信息所以不适合我

fcicq

2016-06-30 22:01:45 +08:00

给后来者看:
shapass=$(echo -n ${username}${concat}${keyword}${concat}${passphrase} | sha256sum | awk '{print $1}')

然后后面取值的时候竟然不是进制变换, 是每两位 hex 然后取可显示的部分.

rekulas

2016-06-30 22:03:03 +08:00

看了下貌似也是和花蜜一样动态生成？

lslqtz

2016-06-30 22:04:39 +08:00

挂在内网就不怕不懂密码学了，明文都没事。
@fcicq 你说是吧（滑稽

fcicq

2016-06-30 22:08:05 +08:00

@lslqtz 所谓"挂内网"的最终解法其实是 HSM 对吧.

lslqtz

2016-06-30 22:09:59 +08:00

@fcicq 我的密码是维护在多台设备的文本上的。。 2333
在 vps 上挂个 HTTP 认证然后放密码只开放 80 也没啥问题。

wevsty

2016-06-30 22:57:55 +08:00

keepass 还是值得信任的
网站名+密码取 hash 的做法还是有些问题，要是某些要素忘记了就不好办，泄露了也不好改

GhostFlying

2016-06-30 23:05:24 +08:00

@lslqtz 重放，至少得搞个证书吧。。

lslqtz

2016-06-30 23:05:49 +08:00

@GhostFlying HTTP 认证是得上 HTTPS 。

GhostFlying

2016-06-30 23:08:04 +08:00

@lslqtz 不过这种 web based 的现在有 KeeWeb ，其实就是 KeePass 的 web 客户端

rhin0

2016-06-30 23:09:59 +08:00

google 下 random symbol generator ，各种大小写、数字字符都勾选了，生成十几行随机密码。打印出来，狡兔三窟，存成 txt ，放开启两步验证 googledriver/ dropbox 里，安全得很。只要记住用随机密码阵列你选取的密码的坐标即可。

feixchow

2016-06-30 23:12:35 +08:00

@wevsty 之前也用过 keepass ，有次忘记备份数据库文件，蛋疼的改了好久的密码

alay9999

2016-06-30 23:15:35 +08:00

具有同样想法的神经病一枚。

https://tools.appinn.com/mi-plus.html

feixchow

2016-06-30 23:21:27 +08:00

@alay9999 😄，功能好多，看来花了不少心思；一对比，我这简直简陋

feixchow

2016-06-30 23:30:14 +08:00

@fcicq 进制转换指的是？最后生成密码必须要转成可打印字符，要不没法用啊
```shell
((num=16#${shapass:$i:2}))
```

alay9999

2016-06-30 23:30:53 +08:00

@feixchow 然而懒成了狗，各种扩展客户端虽然心里有想法，然而一直并没有做

所以一直被人称作坑王……

第 1 页／共 5 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/289459

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.