这是一个创建于 3109 天前的主题,其中的信息可能已经有所发展或是发生改变。
主要实现以下功能:
1. 用户可以新建密码事项,然后随机生成高强度密码,或者用户也可以自己输入,哪怕是 123456
2. 按照用户设定定期发 email 提醒用户修改密码
3. 默认密码分级,帮助用户实现好的习惯
主要特点就是云端存储了吧,也不用做 app ,直接浏览器打开就行, angularJS 做个 SPA
很久不在国内混迹,不知道这样的东西是否有需求
PS :全免费无广告,不求赚钱
欢迎大神拍砖
thx.
 |
1
gimp 2015-10-19 17:15:29 +08:00  7
用户为什么信任你
|
 |
2
Xs0ul 2015-10-19 17:16:32 +08:00 1
1 、如何与浏览器自带的密码管理竞争?
2 、如何与 lastpass 之类的竞争? |
|
3
gimp 2015-10-19 17:16:32 +08:00
需求是有,既然不图赚钱,可以开发出来放到 Github 上
|
 |
4
lygmqkl OP @gimp 这倒真是一个问题,但是并非不可避免,我们可以把这个做成一个双盲的情况,比如密码为空只推送密码修改的邮件(改变习惯),在或者是一串密码中的一部分用作密码,加之可以把密码事项的名字写的隐晦一些。
只是充当容器。 |
 |
5
ibugeek 2015-10-19 17:19:08 +08:00 1
云端的密码不放心
|
|
6
lygmqkl OP @Xs0ul 这也是个问题,做为 chrome 的用户,我觉得云密码保存也很好用。只是一个想法拿出来讨论,永远比闭门造车要强。
|
 |
7
youxiachai 2015-10-19 17:20:47 +08:00 1
onepassword ..
|
|
8
lygmqkl OP @ibugeek 为何? 如果做成二级密码应该就很安全了,大密码套小密码,而且除了你没人知道密码针对的 source 是什么。
|
|
9
lygmqkl OP @youxiachai 有 web 版?
|
 |
10
RickyBoy 2015-10-19 17:26:02 +08:00
怎么跟 Lastpass 和 1Password 之类比
|
 |
11
Slienc7 2015-10-19 17:26:42 +08:00 via Android
Lastpass,1password
|
 |
12
FradSer 2015-10-19 17:27:16 +08:00
LastPass 对于企业来说也不贵啊,为什么要用一个「免费」却不「可靠」的。
|
 |
13
explon 2015-10-19 17:28:46 +08:00 1
像网易一样数据库被端了咋办?
|
 |
14
EPr2hh6LADQWqRVH 2015-10-19 17:29:30 +08:00
|
 |
15
twor2 2015-10-19 17:31:25 +08:00 1
我的支付账号 [email protected] ,请支付 2 元
|
 |
16
chinvo 2015-10-19 17:35:49 +08:00
用户为什么信任你?
非要信任云端, LastPass 貌似也不贵的样子。 不信任云端,商业的有 1Password ,开源的有 KeePass |
 |
17
iShao 2015-10-19 17:36:28 +08:00 via Android
免费有 keepass , last pass , 1password 你怎么竞争?
|
 |
18
v1024 2015-10-19 17:36:30 +08:00
云端存储…… 给这自信点赞
|
|
19
lygmqkl OP |
 |
20
lyz1990 2015-10-19 17:46:19 +08:00 1
不是钱不钱的问题啊。我相信你的话,付费用着也安心;我不信你,你给我钱我也不敢用啊。
|
 |
21
Clarencep 2015-10-19 18:10:45 +08:00 1
需求肯定是有的。只是信任问题很难解决。
建议搞个 APP 用来记录 /生成密码,然后加密存放后可以同步到 dropbox 、百度网盘、微盘等等云端。 加密算法一定要选很强的公开算法,比如 AES-256 ,并且所有代码开源,放 github 。 呃,好像有人已经做出来了这款 APP |
 |
22
zjb861107 2015-10-19 18:19:14 +08:00
用户为什么信任你
|
 |
23
gamexg 2015-10-19 18:33:21 +08:00 1
用户信任问题可以尝试学习 chrome 的密码同步策略。
增加一个同步密码,所有的密码使用同步密码 js 加密后上传到服务器保存,同步密码不要上传到服务器。 |
 |
24
dark456852 2015-10-19 18:39:15 +08:00 1
容易每天被人 DD
|
|
25
lygmqkl OP |
 |
26
sun2920989 2015-10-19 19:24:09 +08:00
如果不求赚钱 那么开源吧 否则的话客户也许会觉得既没有广告也不收费的密码管理网站别有用心 没办法 人心不古就是这个意思 只为名气的话开源更有利于传播
|
 |
27
impony 2015-10-19 19:27:58 +08:00 2
很多年前有一个“花密”,思路很不错,只需要记住两个东西:
1. 记忆密码:选择一个与个人信息无关的密码,防止社会工程学破解 2. 区分代号:用于区别不同用途密码的简短代号,如淘宝账号可用“ taobao ”或“ tb ”等 http://flowerpassword.com/app/web |
 |
28
codeninja 2015-10-19 19:30:15 +08:00 via Android
这种 APP ,业务本身技术 20%,安全支撑技术 80%。
|
 |
29
XianZaiZhuCe 2015-10-19 19:34:59 +08:00
谁都会键盘,赶紧做。别理他们说的。
|
 |
30
phithon 2015-10-19 19:35:53 +08:00
|
 |
31
zhicheng 2015-10-19 19:39:42 +08:00
1, 无法找回密码。
2, 单点故障,你的服务挂了,我全部帐号还登不上去了。 3, 暴力破解,解开一个密码,所有的密码全到手。 4, 开源证明不了任何事,服务器的代码,分分钟就能改掉。相反,开源的更不安全。 |
 |
32
Felldeadbird 2015-10-19 20:00:13 +08:00 via iPhone
@zhicheng 开源不是不安全,是加密的算法正常人压根做不好。
|
 |
33
Delbert 2015-10-19 20:26:52 +08:00 via Android
我有管理信用卡的需求,但是不放心放到第三方,还是自己写吧
|
|
34
gamexg 2015-10-19 20:32:10 +08:00
同步密码丢失就没什么好办法了。
也许可以再弄个找回安全问题,用安全问题答案加密同步密码,然后将加密后的同步密码保存到服务器? |
|
35
lygmqkl OP @zhicheng
@Felldeadbird @sun2920989 跟朋友吃饭的时候讨论了下,可以考虑架构开源,但是加密不行,甚至一定程度上说,不开源更安全,特别是在中国。 可以考虑完全开源,大家 git 下来,自己改改,都做成自己的秘密花园的样式。 |
|
37
lygmqkl OP @XianZaiZhuCe 还是需要吸收大家的建议,公开讨论还是好的。
|
|
38
lygmqkl OP @zhicheng 原则上,密码用户是会自己保存一次的,就像我在 Mac 上把密码存到 Notes 上面,使用的时候 copy 一样,应该没有人会每次都登录网站抓密码下来,然后再登录吧,夸张了。
其实我想做的更像一个备忘录的模式。 模式再琢磨一下。 |
|
42
Delbert 2015-10-19 20:42:24 +08:00 via Android
@lygmqkl 信用卡有卡号 有效期 属性( V M U J D Ae 等) 个人卡公务卡 CVC 单芯片单磁条芯片磁条等各种属性而且一定涉及金钱……
|
 |
43
odirus 2015-10-19 20:45:30 +08:00
放心,密码当然不能托管在网上。我一般是自己的密码也记不住,用的时候就点忘记密码重置,哈哈哈
|
|
44
lygmqkl OP @Delbert credit card 我还没有考虑,暂时只考虑了 username/password 模式, 如果要考虑 cc 存储只能明码了,因为加密 /解密本是双刃剑,我在想 能不能在设计上提出密码泄露的危险。
我一直是这样想的,这也是拿出来讨论的关键。 |
|
45
Felldeadbird 2015-10-19 21:02:01 +08:00
楼主你想多了,开源和不开源何来安全和不安全之说呢?开源会让你考虑的事情更深入。例如:我这样设计的代码,其他人使用会不会有问题?
闭源的情况下,我不需要考虑别人的问题。我只需要专注我此环境的需求则可。 但到头来,被黑的始终会被黑。就像 IOS 。一直安全。可一个 xcodeghost ,就干出了大事。 |
 |
46
Rememberautumn 2015-10-19 21:08:47 +08:00
看看奶罩做的 www.yangcong.com
|
 |
47
djyde 2015-10-19 21:14:31 +08:00
我很好奇,用密码生成工具设定的密码,在移动端是怎么录入密码的?我没有用过这类产品,大家是怎么用的。
|
 |
48
andy12530 2015-10-19 21:40:07 +08:00
|
 |
50
auther 2015-10-19 22:06:28 +08:00
最好能自由设置模板,各种自定义前缀,就像 safeincloud 那样
|
 |
51
wd0g 2015-10-19 22:13:52 +08:00 1
我觉得密码被这个时代淘汰只是时间问题
应该解决的问题是用什么来代替密码这个东西 |
|
52
zhicheng 2015-10-19 22:46:03 +08:00 via Android
@Felldeadbird 你没懂我的意思,用在服务器上的代码,开源不开源根本就没有意义,因为站方完全可以在用户不知道的情况下改掉代码。
|
 |
53
ianisme 2015-10-19 22:48:25 +08:00
那不就是洋葱?
|
 |
54
RitianZhao1988 2015-10-19 22:53:30 +08:00
永远不会信任国内此类服务
|
 |
55
wuhusihai 2015-10-19 23:15:11 +08:00
lastpass 吧。。。 而且 我也不在里面存重要密码的。。。 这东西 只有自己脑子是靠谱的。 不过他的自动生成密码挺好的。
关于自己做一个 估计也就自己敢用 而且 也不好说 |
 |
56
RqPS6rhmP3Nyn3Tm 2015-10-19 23:15:13 +08:00 via iPad
想法很好,可是同类产品太多了……在安全问题上大部分人应该还是很谨慎的
个人感觉密码被淘汰只是时间问题,以后肯定证书登陆会普及开嘛 楼主可以造个过渡期的产品我觉得会有希望的 |
|
57
RqPS6rhmP3Nyn3Tm 2015-10-19 23:17:22 +08:00 via iPad
顺便一提, 1Password 真的好用到爆炸,相见恨晚
|
 |
58
hiroya 2015-10-19 23:36:08 +08:00 via iPad
即使有了也不敢用,也不会有用户信任,可能法律上也会叫停…
窝觉得用张纸写下来是最好的,原始,安全,方便,断网断电时也能用也安全 |
 |
59
towser 2015-10-19 23:37:11 +08:00
吴洪生的洋葱令牌已经做的很好了。
|
|
60
zhicheng 2015-10-20 00:14:56 +08:00
@lygmqkl 正好相反,加密算法往往不是弱项,只要 follow 一些基本原则就好。最弱的,其实是你的代码,你的逻辑。安全不是一个点,而是一个面。
|
|
61
RickyBoy 2015-10-20 00:22:23 +08:00
@lygmqkl 弱帐号处理?那使用场景是什么呢?单纯为储存密码而存储密码?安全固然很重要,但是首先要实用(我个人的见解)
|
 |
62
sogisha 2015-10-20 01:15:15 +08:00
除非你能证明你的密码体系是安全的。是学术上的证明,不是管理上。
|
 |
63
ibcker 2015-10-20 01:30:26 +08:00
参考 1Password
|
 |
64
Liyuu 2015-10-20 01:37:20 +08:00
没太看明白干什么用的。密码存在你那里,然后你定期发 email 提醒用户改密码吗?那你直接定期提醒不就完了,为什么要把密码存在你云端呀?存在你那里的用途是什么?
|
 |
65
zzy8200 2015-10-20 02:44:01 +08:00 via iPhone
|
 |
66
sloppysop 2015-10-20 06:03:41 +08:00 via Android
我觉得做一个硬件更好, USB 的,或者有个小屏幕,类似于卡贴之类的可以随身携带,有蓝牙模块,可以连上手机编辑 。甚至小米手环加一个小屏幕也行。
|
 |
67
bugsnail 2015-10-20 08:35:55 +08:00
论持久战.....
|
 |
68
Admstor 2015-10-20 09:23:13 +08:00
你可以把精力重点在自动修改密码上
软件自动定期甚至每天都修改一次密码 但是因为结合了自动登陆,所以用户的使用成本还是很低的 这种设计可以保证用户即便泄露了密码,在进入黑产之前就失效了 这种设计甚至可以引入到企业管理领域 毕竟企业的密码管理也是很复杂的,这样你就可以有利润来源了 |
|
69
Clarencep 2015-10-20 09:27:39 +08:00
|
 |
70
lovedboy 2015-10-20 09:31:52 +08:00
|
 |
71
haha1903 2015-10-20 09:36:33 +08:00
帮楼主堆块砖:
我一直在用 1P ,需求是自动录入密码、带密码保存文档、保存软件注册码。 楼主提到存部分密码 + 自己的 Salt + Source :不能自动录入,每次要去查,那必须要方便才行。 保存文档没问题 保存软件注册码,就一定要全明文的,涉及到信任问题。 |
 |
72
aivier 2015-10-20 10:07:15 +08:00
安全 /长久,大多数人会选择闭源软件或是开源项目
|
 |
73
janxin 2015-10-20 10:36:17 +08:00
恩,黑掉楼主那个网站就好了
|
 |
74
visonme 2015-10-20 10:47:33 +08:00
市场很多,但是如何取得客户的信任,让客户使用你的服务是个问题,针对个人来说,都喜欢了本地软件的密码存储,而对于这种类似云服务的密码存储,怎么改变大家的观念是个挑战哈? 说白了还是个安全问题
|
 |
75
kepenj 2015-10-20 10:52:20 +08:00
只要敢对外运营,就有人敢脱你裤
|
 |
76
wshcdr 2015-10-20 11:04:32 +08:00
不太看好,主要是云的信任问题
|
 |
77
heqichang 2015-10-20 12:17:44 +08:00
@sloppysop 国外好像有人做硬件了,密码保存在一个 u 盘类似的东西上,然后还能通过指纹登录。 36kr 上看到的有视频介绍,忘了叫啥了,可以搜搜看
|
 |
78
yotsuki 2015-10-20 13:53:15 +08:00
这类工具很多,也有不少成熟的产品,前面已经有人说了。
我的想法,不做 web ,做客户端 PC/移动端,不设共有服务器,提供私有服务器端源码或 bin ,用户可以自己假设到自己的服务器 /NAS/智能路由中。 也就是说开发者 /运营方根本无任何途径和可能得到用户的密码才能使用户信任。 |
 |
79
frozenshadow 2015-10-20 14:17:48 +08:00
|
 |
80
arens 2015-10-20 14:39:40 +08:00
几年前就有这个想法了,还做了计划,然后又被自己推翻~
|
 |
81
eliteYang 2015-10-20 15:09:01 +08:00
有市场,但是用户为啥信任你,各大厂商凭啥信任你
|
 |
82
nullcc 2015-10-20 15:09:39 +08:00
万一被黑了你就呵呵了
|
 |
83
ajan 2015-10-20 17:18:38 +08:00
有时候自己都靠不住,还信你一个网站?
|
 |
84
7z7 2015-10-20 17:21:56 +08:00
曾经我也有一个跟你一样的想法。。。
|
 |
85
czrdzj 2015-10-20 17:37:11 +08:00
做个开源 php 的 web 程序,给用户自己架应用。。。
|
 |
86
tempuseraccount 2015-10-20 17:42:21 +08:00
你在安全方面能比国内 BAT 网易新浪什么的做得更好吗
不能的话,用你的网站来管理这些国内网站的密码,岂不是相当于在本来就千疮百孔的墙上又凿一个洞 |
 |
87
hging 2015-10-20 18:00:50 +08:00
1password 还真有 web 版.
|
 |
88
SonicY 2015-10-20 18:08:24 +08:00
可以搞一个开源的私有云加密存储
|
 |
89
aluo1 2015-10-20 19:06:02 +08:00
没有办法让绝大多数用户信任,这才是最大的问题吧
而且 1Password, iCloud KeyChain, 浏览器自带储存密码功能,都和你说的有所重合 不过这个想法挺好的,给题主点赞! |
 |
90
yeh 2015-10-20 19:51:10 +08:00
所有云端存密码的我都不信。
所以自己写了个算法,根据 username , app , salt 生成密码,缺陷是每个应用的密码都不一样记不住,每次都要生成(所以我都勾选记住登录状态) 为此,做了一个网站(纯静态,无服务端),和一个 chrome 插件。不过 chrome 插件也没打算保留客户端密码记住功能,宁可每次生成。 |
|
91
lovedboy 2015-10-20 22:04:59 +08:00
@lygmqkl 你看看这个 https://github.com/lovedboy/pwm ?
|
 |
92
vivisidea 2015-10-20 22:20:13 +08:00
赶紧先做出来~
|
 |
93
c43035 2015-10-20 22:20:52 +08:00
我会觉得你是个密码收集器,,,
|
 |
94
manfay 2015-10-20 22:41:59 +08:00 via iPad
我在用一个另类的密码管理 app 是这样的,输入网址,自动生成一个密码给你用。这是一个本地 app ,密码不上传,但是生成密码的算法是固定的,所以可以在另一台设备还原密码,只要输入相同的主密码就行。这很方便,次要密码可用。
|
 |
95
Taojun0714 2015-10-20 23:08:02 +08:00 via iPhone
我告诉你,只要你是中国人,中国的企业,中国的项目,这种服务我的安全感是零,你们说的话我一个字不信,你们的承诺我一个字不听,你们的没下限程度我可以以最大恶意来揣测,明白了吗,你做这个。
|
|
96
twor2 2015-10-21 02:31:59 +08:00
|
 |
97
msg7086 2015-10-21 04:53:24 +08:00
做个硬件大概销路还好点。
|
 |
98
sNullp 2015-10-21 06:55:42 +08:00
之前做过一个类似的东西: http://www.v2ex.com/t/125965#reply5
我的想法是服务器不用存储密码,只存储算法。然后用 GoogleAuth 拿到 key 就可以根据算法生成密码。 这样只要牢记 Google 账户的密码就没问题。 |
 |
100
oott123 2015-10-21 09:04:32 +08:00 via Android
要翻页了, KeePass 用户表示问候。
|
Select Language