最近密码被撞库撞得损失很大。 lastpass 的密码又过于复杂,而且不能在紧急时刻方便的调用出来。
有没有类似于钥匙链大小的哈希计算器,可以让我随时随地的计算“ hash(salt+网站名)”这样的密码。
这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
This topic created in 3736 days ago, the information mentioned may be changed or developed.
Supplement 1 · Mar 10, 2016
准确的想法是,便携式哈希密码器。
1. 该硬件由指纹识别模块,九宫格键盘和段显液晶屏构成。
2. 用户需要生成密码时,只需要按上指纹,并输入 taobao 字母对应的九宫格数字(即 userstr ),即可获得唯一的密码。
3. 原理是, privatesalt 用于记录认为设定的私有的设备密码,保存于密码器中,之后不必再次输入。指纹可以转换成唯一的 fingersalt ,该 fingersalt 不必完全区分出每个人, 1 万分之一的冲突概率即可。<userstr,version>映射表保存于密码器上,也可以导出,完成 version 与 userstr 映射的关系,用来保存密码的不同版本号,用户可以通过一个辅助按钮更新一个 str 的版本号。密码器则完成计算 code=hash(privatesalt + fingersalt+userstr+version),最终显示前六位。
4. 用户心中可根据 code 的前六位再加上心中的一个固定后缀,构成最终待输入密码。
5. 期望待机时间长达数月以上。
1. 该硬件由指纹识别模块,九宫格键盘和段显液晶屏构成。
2. 用户需要生成密码时,只需要按上指纹,并输入 taobao 字母对应的九宫格数字(即 userstr ),即可获得唯一的密码。
3. 原理是, privatesalt 用于记录认为设定的私有的设备密码,保存于密码器中,之后不必再次输入。指纹可以转换成唯一的 fingersalt ,该 fingersalt 不必完全区分出每个人, 1 万分之一的冲突概率即可。<userstr,version>映射表保存于密码器上,也可以导出,完成 version 与 userstr 映射的关系,用来保存密码的不同版本号,用户可以通过一个辅助按钮更新一个 str 的版本号。密码器则完成计算 code=hash(privatesalt + fingersalt+userstr+version),最终显示前六位。
4. 用户心中可根据 code 的前六位再加上心中的一个固定后缀,构成最终待输入密码。
5. 期望待机时间长达数月以上。
 |
1
Strikeactor Mar 9, 2016
你说银行的那个电子密码器吗
|
 |
2
xiaoyao9933 OP @Strikeactor 类似那个大小。但是应该有个小键盘,用来让我输入"salt+网站名"
|
 |
3
terence4444 Mar 9, 2016
自己写个 APP 好了
|
 |
4
xenme Mar 9, 2016 via iPhone
hardware password manager
|
 |
5
aliuwr Mar 9, 2016
花密
|
|
6
xiaoyao9933 OP @terence4444 我觉得很多时候带手机也是很麻烦的,而且手机很容易没电,不耐久。密码计算器这个东西应该电量至少能用 1 个月。
|
 |
7
cxbig Mar 9, 2016
手机上有很多 hash 软件,随便找个就行
|
 |
8
7654 Mar 9, 2016
关注
|
|
9
xiaoyao9933 OP @cxbig 非智能设备的方法有么?在手机上切换 app 也是个很痛苦的过程,有的时候还不能粘贴。
|
|
10
xiaoyao9933 OP @aliuwr 软件部分是这个原理,但是这个花密还是不够通用。
|
|
11
cxbig Mar 9, 2016
@xiaoyao9933 这要求恐怕很难,就连直接支持 1Password 的一键填密码的 app 都屈指可数。
或者你自己做一个手机输入法,说不定可以实现你的目的。 |
|
12
xiaoyao9933 OP 最好还自带一个指纹识别模块,指纹就会自动映射为一个独一无二的 salt 。
这样在输入密码的时候,人们只需要放上手指,同时只要输入 taobao 字样即可。别人捡走,或者即使看着你输入了 taobao 也根本无法破解密码。 |
 |
13
lovez Mar 10, 2016 via Android
好想法,试着做一个
|
 |
14
Tink PRO 生成完密码之后呢?又手工敲到电脑里?
|
 |
15
brucewzp Mar 10, 2016
写个 watch app ?
|
 |
16
dapang1221 Mar 10, 2016 via Android
有戏。硬件是一个 hid 设备,有两个输入量,一个是指纹,一个是网站名,盐写在硬件里。光标停留在待输入密码的地方,然后插入这个设备,识别指纹,输入网站域名,然后这个设备模拟键盘来输入经过运算后的密码。设备可以用 stm32 的 mcu ,或者简单一点直接上 arduino 。如果再复杂一点,可以设计一个上位机程序,这样可以直接获得活动窗口的句柄,得知网站域名,然后输入量也只有指纹了。整体的安全性来讲,盐是主要的,不能泄露,所以最好再加一个算法,通过密钥+网站名来生成盐,这样安全性就更高了。(不过这么麻烦也只为了防止撞库……防不了键盘监听和中间人攻击。。)
|
 |
17
abelyao Mar 10, 2016
无法想象手工敲入电脑里 4$V1F$QTxaRYqt2k 这样的密码…
|
 |
18
dphdjy Mar 10, 2016 via Android
|
 |
19
vibbow Mar 10, 2016 via Android
lz 可以买个旧款文曲星, 160 x 80 黑白屏那种。
三种编程语言可选,任你发挥。 电池用个半年一年还是没问题的。 |
 |
20
jciba5n4y6u Mar 10, 2016
我写了个脚本,动态生成用户名和密码,输入是网站名+一个定时更换的字符串,输出是用户名、密码。
让撞库的使劲撞去吧 |
 |
21
naver1 Mar 10, 2016
lastpass 有手机客户端,很方便。
|
 |
22
873681136 Mar 10, 2016 via iPhone
指纹只能匹配,不能映射
|
 |
23
zhujinliang Mar 10, 2016
这种根据 hash 算法的,如果你有 n 个站用这种方式生成了密码,其中一个站由于某种原因需要修改密码了,怎么办? n 个站都跟着改密码?
|
 |
24
bearqq Mar 10, 2016 via Android
不应该时候用(如) python 写个脚本放手机里 /web 服务?还可以复制什么的。。
|
 |
25
superbear Mar 10, 2016
浏览器控制台 console 行不行?
|
 |
26
julor Mar 10, 2016 via Android
用指纹识别不就行了,第三方网站就用 qq ,微信登陆!何必这么麻烦?
|
 |
27
galenzhao Mar 10, 2016
正在设计中,准备在 kickstart 发布,
|
|
28
xiaoyao9933 OP |
|
29
xiaoyao9933 OP @vibbow 哈哈倒是这个意思。不过我还是希望有指纹模块和 9 宫格的小键盘,降低输入难度。
|
 |
30
x86 Mar 10, 2016
 |
|
31
xiaoyao9933 OP @dapang1221 对,我就是类似的一个思路。
@DT27 我觉得手机客户端又不能自动填写密码,而且 app 的很多密码是不能复制粘贴的,你只能先将密码誊写到纸上,然后切换软件,再填过去。 @zhujinliang 可以考虑 salt + str + ( version )构成方式。 version 信息可以保存为一个映射表 str->version ,该映射表可以简单存储。 version 由密码器自动根据 str 生成,不需要用户填写,用户只需要输入 str 。 @galenzhao 兄弟做到什么程度了? |
 |
32
fleer Mar 10, 2016
我记得见过这样的设备,基于指纹识别,自动输入密码。。
|
|
33
fleer Mar 10, 2016
http://tech.feng.com/2015-08-07/Password-all-forget-_621032.shtml 和这个类似,但是我记忆中的那个是国产的。
|
 |
34
1OF7G Mar 10, 2016 via Android
我的密码一般是 6 到 8 位随机大小写字母+数字,一般都用 6 位(62^6=568 亿排列),短点因为懒+好记
我觉得在线账户安全的薄弱处不在密码复杂度上, 16 位随机码不会比 8 位随机的安全多少。 反而应该更注重:不要使用相同密码;定期修改密码;注意使用环境等等,大部分问题都出在这些地方(当然还有 123456 之类的弱密码)。 |
|
35
galenzhao Mar 10, 2016
@xiaoyao9933
没有你想的指纹的, 功能原型已经搞定,在做密码组管理程序, 我们这个是可以插在 u 口自动输入密码, 第一个版本是硬件拨码选择密码组, 第二版是添加了 BLE 手机端 app 认证, 小巧、无需额外供电、成本低 |
|
36
galenzhao Mar 10, 2016
@xiaoyao9933
我去!!! 和这个比较像 http://tech.feng.com/2015-08-07/Password-all-forget-_621032.shtml 我咋以前没注意过有这类的呢。。。 我是最近有个账号被社工了,为了把我所有账号的密码都 random ,不做任何算法生成才设计了新的硬件输入器 |
 |
37
sampeng Mar 10, 2016
1password 还不够好用么。。。
|
 |
38
Izual Mar 12, 2016
@xiaoyao9933
八位密码只有 1-9A-F ,算不上强密码吧。 |
Select Language