Home Sign Up Sign In
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
Advertisement
gno23x

我想自己实现一个“密码管理器”

  •   
  •   gno23x · Dec 26, 2014 · 7420 views
    This topic created in 4181 days ago, the information mentioned may be changed or developed.
    我想自己造个“密码管理器”的轮子,通过Web实现,不考虑类似LastPass的自动填充的功能,只用于存储密码。

    我初步设想是这样的:

    - 只需要记住一个密码,暂且称之为“last pass”好了。
    - “last pass”通过PBKDF2函数生成一个key,这个key用于AES加密,这个key我们称之为“PBKDF2 key”
    - “PBKDF2 key”用来加密(使用AES算法)另一个key,这个“另一个key”我们用来加密(也是使用AES算法)我们在各个网站的登录密码(或其它需要加密的密码),“另一个key”我们称为“password key”
    - 需要一个密码(比如GitHub的登录密码)的时候,输入“last pass”,通过PBKDF2函数得到“PBKDF2 key”,然后用“PBKDF2 key”去解密加密后的“password key”,最后通过解密得到的“password key”去解密我们存储的密码
    - 全站https

    除了密码管理以外,还有一个想整合进去的功能,就是为每个网站生成一个唯一的用户名,增加社工的成本。

    不知道这个设计有没有缺陷,想听下大家的看法。 :)
    Supplement 1  ·  Dec 27, 2014
    感谢 @silver @endoffight 提醒,才知道 KeePass 有Android客户端,已经打消自己设计一个“密码管理器”的想法了。谢谢各位提供的建议。
  • pbkdf2
  • 加密
  • key
    46 replies    2014-12-30 13:05:39 +08:00
    4everLoveU
        1
    4everLoveU  
       Dec 26, 2014
    不太懂,唯一的疑问就是密码输入框输入的不都是暗文吗?你怎么知道用户输入的是“last pass”?
    gno23x
        2
    gno23x  
    OP
       Dec 26, 2014
    @4everLoveU 存储的密码都是加密过的,用户输入了“last pass”后能解密得到需要的密码,用户输入的“last pass”就是正确的。具体的加解密流程看我的描述。
    tojoevan
        3
    tojoevan  
       Dec 26, 2014
    应该属于非对称加密方法吧,可以度娘下,有很多。
    lsmgeb89
        4
    lsmgeb89  
       Dec 26, 2014
    你不觉得很麻烦吗?LastPass 这种,都不需要输,直接快捷键或者自动输了。
    nicai000
        5
    nicai000  
       Dec 26, 2014
    我一直在用自己的密码管理器
    gno23x
        6
    gno23x  
    OP
       Dec 26, 2014
    @lsmgeb89 嗯嗯,可以理解为实现一个LastPass出来。用自己电脑的话,密码是可以通过浏览器记住的,并且很多网站登录态都可以维持一段时间,所以从“密码管理器”中复制一下密码也不算太费事。

    就是不想用LastPass,没有原因。
    gno23x
        7
    gno23x  
    OP
       Dec 26, 2014
    @nicai000 可以分享一下设计思路不?
    9hills
        8
    9hills  
       Dec 26, 2014
    不如用这个,每次动态计算。。也不用去存
    http://flowerpassword.com/
    gno23x
        9
    gno23x  
    OP
       Dec 26, 2014
    @9hills 貌似这个暴力破解的成本比较低?我知道你用的是“花密”,一般你用于qq密码的代号就极有可能是qq,“记忆密码”一般还是比较简单,比较容易穷举出来。(当然,这个容易是相对的,也不是特指穷举qq的密码)
    tt7
        10
    tt7  
       Dec 26, 2014   ❤️ 1
    @gno23x 如果把花密的算法改成使用者提供呢? 对于普通用户而言, 可以在后台提供多种算法, 选择加密算法的算法由用户提供, 提供的方式可以很简单, 比如回答一系列问题, 或者画一个自定义的图形。
    wadezhao
        11
    wadezhao  
       Dec 26, 2014
    keepass是开源的,直接用人家久经考验的算法不好么……………………


    自己造个外观漂亮的界面就好。
    wolfan
        12
    wolfan  
       Dec 26, 2014
    我觉得可以改造花密将记忆码设为一个固定值,区码改为自动获取DNS主域段。自动完成应该也不错。
    KiseXu
        13
    KiseXu  
       Dec 26, 2014 via Android
    @wolfan 花密的chrome扩展就是这样的
    omegaga
        14
    omegaga  
       Dec 26, 2014
    @gno23x 看上去就是1password的思路,不过为什么要多一层password key呢?是为了使每一个密码都有独立的AES加密的密钥吗?这样的好处是什么?
    gno23x
        15
    gno23x  
    OP
       Dec 26, 2014
    @tt7 如果是自己用的话,自己搞一套算法的话相对就没那么容易被暴力破解了。问题就是如果算法因为服务器入侵啥的被知道了,就和花密一样了。因为是自己用的,所以考虑得比较极端,哈哈。总的来说,你这个思路还是足够安全的。
    gno23x
        16
    gno23x  
    OP
       Dec 26, 2014
    @wadezhao KeePass使用C#写的,你说的造个界面是GUI吗?可是它无法跨平台。
    gno23x
        17
    gno23x  
    OP
       Dec 26, 2014
    @omegaga 如果只是用“PBKDF2 key”(“last pass”通过PBKDF2函数生成)去加密我们存储的密码的话,那如果你要修改“last pass”的话,就必须解密所有已存储的的密码,然后再用新的“PBKDF2 key”去加密。

    有了“password key”后,我们修改“last pass”后,只需要用新的“PBKDF2 key”重新加密一下“password key”就行了。

    :)
    gno23x
        18
    gno23x  
    OP
       Dec 26, 2014   ❤️ 1
    @omegaga 上面还没说完,所有密码用的都是同一个“password key”,这个“password key”用“PBKDF2 key”加密。
    zix
        19
    zix  
       Dec 26, 2014
    目前在Linux、Windows都是用keepassx,觉得还是挺不错的,看了下,keepassx也支持Mac os
    zix
        20
    zix  
       Dec 26, 2014
    @zix 不过是本地存储来着……当然我用Dropbox在不同平台上同步
    gno23x
        21
    gno23x  
    OP
       Dec 26, 2014
    @zix KeePass通过Mono平台可以在OS X下使用,不过毕竟不是原生UI,会有一些小问题。而且用KeePass的话,人不在电脑旁的话,需要密码怎么办?
    9hills
        22
    9hills  
       Dec 26, 2014
    @gno23x 穷举说的简单。。求穷举

    huami算法,你现在获取我在一个叫 cracker 的论坛的加密密码是:K3945b18c8426F51。这个论坛我明确告诉你,我用的代号就是cracker

    求穷举我的密码,谢谢
    9hills
        23
    9hills  
       Dec 26, 2014
    @gno23x 花密用的HMAC算法,这个计算性能你是能算出来的,然后算下每小时能穷举多少个组合,就知道穷举是不太可能了。。

    假如我选择了Bcrypt,那更是没戏。。
    gno23x
        24
    gno23x  
    OP
       Dec 26, 2014
    @9hills 上面说了考虑得比较极端,如果cracker论坛没有任何防刷机制的话,你的密码比较短且不复杂的话,穷举还是有可能的。 :)
    9hills
        25
    9hills  
       Dec 26, 2014
    @gno23x 已经和cracker没关系了吧。我在cracker论坛的密码你都知道了

    huami本质是一个算法
    Z = huami(X, Y)

    现在你知道了Z是K3945b18c8426F51,Y是cracker,求X

    你是可能穷举,那可以试试。。
    geew
        26
    geew  
       Dec 26, 2014
    @9hills http://flowerpassword.com/app/web 看到评论
    "万一哪天花密宕机了怎么办"
    gno23x
        27
    gno23x  
    OP
       Dec 26, 2014
    @9hills

    纯数字,8位,一年时间,每秒需要试3.17个密码。
    英文数字混合的话,8位,一年时间,每秒试89456.8个密码。

    如果只有一个密码的话,这个密码当然会设置得相对复杂,所以穷举成本确实蛮高。

    实际上我也没仔细算过这个成本,所以我上面保守得说了“考虑得比较极端”,也提了“容易是相对的”。

    :)
    9hills
        28
    9hills  
       Dec 26, 2014 via iPhone
    @geew (´-ω-`) 我还写了个cli版本的,本地用
    fityme
        29
    fityme  
       Dec 26, 2014
    写了个离线版alfred的workflow,能自动复制到剪切板。。。
    然后我自己没在用(还没买正版alfred...
    wadezhao
        30
    wadezhao  
       Dec 26, 2014
    @gno23x 我的意思就是加密算法用现成的就好了,如果你想做一个应用,精力多放在界面和易用性上就好。
    hiboshi
        31
    hiboshi  
       Dec 26, 2014
    @gno23x keepass会生成 本地数据文件,是加密的,如果放心直接云端。
    KentY
        32
    KentY  
       Dec 26, 2014 via iPhone   ❤️ 1
    我从写了自己的密码管理器一直用,5,6年了。但不是web的。
    https://github.com/sk1418/passwdmanager
    gno23x
        33
    gno23x  
    OP
       Dec 27, 2014
    @hiboshi 同步是没问题,关键是没有KeePass,就没法看内容。在外面,只有手机的情况下就没法要到密码了。
    @KentY 没电脑在身边就没办法了吧。
    shepherd
        34
    shepherd  
       Dec 27, 2014
    @gno23x 一直在用黑莓上的密码管理器,重要一点的账号基本上都是不同密,强度足够,而且定期更换。
    有段时间有过一个想法,就是设计一个跟工行电子密码器类似的便携设备,主要功能就跟1Password一类的密码管理软件类似,既方便携带,又能保证一定安全性。
    其实,总感觉密码这种东西记脑子里最安全,但是人不可能记住那么多复杂无规律的密码,所以如果要借助工具记录的话,这种工具越远离互联网越安全吧。“安全”这东西都是有依赖性的,不存在独立的绝对的安全。
    sNullp
        35
    sNullp  
       Dec 27, 2014
    http://www.v2ex.com/t/125965#reply5
    endoffight
        36
    endoffight  
       Dec 27, 2014 via iPhone
    keepass满足不了你吗?
    gno23x
        37
    gno23x  
    OP
       Dec 27, 2014
    @shepherd 黑莓随身带挺麻烦吧,突然想到准备换手机,旧手机里头放个密码管理器貌似不错,还能如你所说远离互联网,哈哈。

    @sNullp 不错,php写的,可以研究一下。

    @endoffight KeePass功能是不错,就是人不在电脑旁边就拿不到密码了。
    kstsca
        38
    kstsca  
       Dec 27, 2014
    如何解决 类似 qq 登陆 密码输入,一个一个输?
    R4rvZ6agNVWr56V0
        39
    R4rvZ6agNVWr56V0  
       Dec 27, 2014
    自编算法表,然后把人肉加密记录在email里发给自己多个账户比啥都靠谱
    silver
        40
    silver  
       Dec 27, 2014   ❤️ 1
    @gno23x 人不在电脑旁什么意思,总会有个手持设备吧。keepass下分支版覆盖各种系统和手持,同步数据库啊。要有心还不如以keepass为基础做个不错的界面。
    endoffight
        41
    endoffight  
       Dec 27, 2014 via Android   ❤️ 1
    keepass 的手机客户端啊,osx啊什么的
    gno23x
        42
    gno23x  
    OP
       Dec 27, 2014
    @kstsca 只考虑存储哈。不过感谢 @silver @endoffight 提醒,才知道KeePass有Android客户端,虽然是非官方的。
    llbxwj
        43
    llbxwj  
       Dec 27, 2014
    试试花瓣
    llbxwj
        44
    llbxwj  
       Dec 27, 2014
    错了,是花密
    KentY
        45
    KentY  
       Dec 28, 2014   ❤️ 1
    @gno23x 是的,需要电脑。现在我是通过dropbox同步,多台电脑用着还挺好。 没弄手机的程序,我自己不怎么用的上。
    AlexaZhou
        46
    AlexaZhou  
       Dec 30, 2014
    很早之前我也自己实现了一个,和LZ的思路基本一致,不过是本地运行的。因为我觉得密码这些东西通过web来处理不太安全
    传送门:code.google.com/p/text-encrypt

    后来换Mac之后发现系统自带的安全备注很好用,就没继续用这个
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   818 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 101ms · UTC 21:24 · PVG 05:24 · LAX 14:24 · JFK 17:24
    ♥ Do have faith in what you're doing.