V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
DEATHKEL
V2EX  ›  信息安全

有个这个,再也不怕密码被撞库了

  •  
  •   DEATHKEL · 2018-06-19 17:44:34 +08:00 · 8548 次点击
    这是一个创建于 2381 天前的主题,其中的信息可能已经有所发展或是发生改变。

    简单描述

    这是一个简单的密码生成工具,目的在于为每个需要登录的应用设置自己的不同的密码,且不在任何地方存储自己的密码,每次需要密码时通过指定格式的方式生成密码。

    效果

    可以有效起到,没有人能知道你的密码,因为连你自己也不知道,如果一个密码被盗了,也不用担心被撞库

    原理

    应用名称 + 生成密码算法 + 任意密码 * N = 唯一密码

    格式示例

    应用名称 + 独立密码 应用名称 + 子应用名称 + 独立密码 其他任意格式

    使用示例

    noPassword 网易 qweasdzxc
    
    5cD2mT1kS7oA9yA1eN3sC0fL3fN5nV0a
    
    ### 指定密码长度
    
    noPassword -l 16 网易 qweasdzxc
    
    5cL0aI0hL5tW6jM0
    

    附上地址,求 star

    https://github.com/deathkel/noPassword ( release 上有 mac,windows,linux 的二进制可执行程序)

    52 条回复    2018-06-21 10:57:50 +08:00
    stcasshern
        1
    stcasshern  
       2018-06-19 17:49:48 +08:00
    这么乱又长,岂不是每次登录都要生成一下。。那为何不用 lastpass 等现用工具来生成呢。。另外我的解决方法是 pinyin (应用+诗句+6 位幸运数),比如 wangy ppnn13% 101010
    DEATHKEL
        2
    DEATHKEL  
    OP
       2018-06-19 17:51:27 +08:00
    @stcasshern 哈哈哈,我去试试破解你的密码
    stcasshern
        3
    stcasshern  
       2018-06-19 17:53:23 +08:00
    @DEATHKEL 诗句和幸运数都有两三个选择啦,而且只是举例~
    DEATHKEL
        4
    DEATHKEL  
    OP
       2018-06-19 17:59:03 +08:00
    @stcasshern 嗯嗯嗯,你这个也是个好办法,我这个每次都要生成确实会麻烦一点,但是安全性会更高一点
    artandlol
        5
    artandlol  
       2018-06-19 18:05:39 +08:00 via iPhone
    其实这是很多人想过的方案,但不会被大众所接受,是什么原因呢
    DEATHKEL
        6
    DEATHKEL  
    OP
       2018-06-19 18:07:23 +08:00
    @artandlol 我觉得是大部分人其实是没有密码安全意识的,用同一个密码的人周围一抓一大把
    brickyang
        7
    brickyang  
       2018-06-19 18:08:59 +08:00 via iPhone
    密码的强度取决于字符种类和长度。如果不增加特殊字符,单纯玩弄「单词组合」的密码只是人类看起来「复杂」而已,对电脑来说就是字母和数字组合,在暴力破解面前没有任何额外的价值。
    artandlol
        8
    artandlol  
       2018-06-19 18:12:16 +08:00 via iPhone
    密码这东西是反人类的,能记住密码对大多数人已经是尽力了。现在有种技术是用 DNA
    DEATHKEL
        9
    DEATHKEL  
    OP
       2018-06-19 18:13:29 +08:00
    @artandlol 这么高级
    DEATHKEL
        10
    DEATHKEL  
    OP
       2018-06-19 18:14:49 +08:00
    @brickyang 是的,字符集越多,越长越难破解
    hugsky
        11
    hugsky  
       2018-06-19 18:37:05 +08:00   ❤️ 1
    ysicing
        12
    ysicing  
       2018-06-19 18:41:14 +08:00 via Android
    pwgen 命令了解一下。但是密码不好记。
    prolic
        13
    prolic  
       2018-06-19 18:42:14 +08:00 via Android
    以前我也想过自己造轮子,用过 lastpass 之类的密码管理工具后觉得离不开了
    onionnews
        14
    onionnews  
       2018-06-19 18:59:16 +08:00 via Android
    应用名称全拼做密码还是不太好,例如密码:wangyi123456,很容易猜到 qq123456,如果用 wy123456,或者 wa123456 就会好一点。
    geelaw
        15
    geelaw  
       2018-06-19 19:15:12 +08:00 via iPhone   ❤️ 2
    使用这个软件基本上是没有安全意识的。这个软件既没有进行过安全性的形式化论证,也没有经过实现上的安全性考察,可以说是一个安全方面的定时炸弹,只能用来玩玩,

    “没有人能知道你的密码,因为连你自己也不知道”这句话毫无逻辑可言,自己不知道密码不代表密码不能被还原出来。

    MD5 是已知不安全的 hash 算法,虽然对于这个特定场景,我暂时没有考虑其安全性如何,但一般来说应该避免使用 MD5 作为安全相关的 hash 算法。

    @artandlol DNA 是不可替换的内容,用作密码( password )是不安全的。
    x86
        16
    x86  
       2018-06-19 19:17:22 +08:00
    ballack13
        17
    ballack13  
       2018-06-19 19:23:41 +08:00 via Android
    这不是 google 的 smart lock ?
    SonicY
        18
    SonicY  
       2018-06-19 19:30:40 +08:00 via Android
    其实这类东西挺有用的,这就等于是在本地加盐,主要目的就是解决撞库。只要大脑记住一个强密码就可以,实现起来也简单。
    ryuutanyou
        19
    ryuutanyou  
       2018-06-19 19:42:12 +08:00
    从产品的角度讲,虽然增加了安全性,但是便利性降低了。我还是选择 1password
    vefawn1
        20
    vefawn1  
       2018-06-19 20:06:25 +08:00 via Android
    同选择 1password,不折腾了
    Ansen
        21
    Ansen  
       2018-06-19 20:15:47 +08:00 via iPhone   ❤️ 1
    openssl rand -base64 12
    cxbig
        22
    cxbig  
       2018-06-19 22:27:30 +08:00
    不折腾,用 KeePassXC。
    mapleray
        23
    mapleray  
       2018-06-19 22:33:34 +08:00
    或许可以看看这个

    https://www.v2ex.com/t/331896
    ynyounuo
        24
    ynyounuo  
       2018-06-19 23:00:34 +08:00 via iPhone
    呃…有简单规律可循的密码生成肯定不安全。
    polaa
        25
    polaa  
       2018-06-19 23:04:13 +08:00   ❤️ 1
    emmm 怎么说呢,推荐学一下密码学
    leafleave
        26
    leafleave  
       2018-06-19 23:55:12 +08:00 via iPhone
    yangqi
        27
    yangqi  
       2018-06-20 02:34:47 +08:00   ❤️ 1
    楼主是来搞笑的么,你这还不如人家自己加个隐秘的盐来的安全。你这本质还是 md5, 其他的都是自欺欺人,绕那么多弯分分钟就可以加到撞库软件里面了。
    fuermosi777
        28
    fuermosi777  
       2018-06-20 04:08:25 +08:00
    能来这里看到这个工具并且会用的人,估计都有了自己的密码解决方案
    imn1
        29
    imn1  
       2018-06-20 04:14:10 +08:00
    败笔之作
    1.没有符号
    2.没有时间戳参数,改密码怎么办?
    只有「应用名」和「任意密码」两个参数可变,改前者会混乱,改后者那跟自己每站记一个密码有什么区别?
    有些变态网站还要问以前用过的密码,没时间戳无法回溯
    redsonic
        30
    redsonic  
       2018-06-20 04:31:34 +08:00
    kcpcli 或类似的,修改一下外加两层加密上传到自己注册的域,存储到目标域名+自注册域的 TXT 记录。授权支持 dnssec 或递归支持 dns over tls 更佳。
    MrGba2z
        31
    MrGba2z  
       2018-06-20 04:33:36 +08:00
    1p 不折腾
    当你碰到某个傻逼网站要求特定 XX 字符(必须有特殊字符),特定长度(>n, <n) 要求时。。。。。。。。。。
    daigouspy
        32
    daigouspy  
       2018-06-20 06:01:13 +08:00 via Android
    不用什么特殊字符,只要密码超过 15 位,基本就无法破解了。
    lunafreya
        33
    lunafreya  
       2018-06-20 06:23:02 +08:00 via iPhone
    所以所有用户都是用同一个 key 生成的密码?那和明文有什么区别?
    carlclone
        34
    carlclone  
       2018-06-20 06:37:35 +08:00
    看来为了 star 也是绞尽脑汁穷途末路了啊
    neighbads
        35
    neighbads  
       2018-06-20 07:18:24 +08:00 via Android
    不考虑好记的话 了解下 pbkdf,你这个还是安全性太低了
    loading
        36
    loading  
       2018-06-20 07:47:21 +08:00 via iPhone
    既然都已经需要工具了,为什么不用 keepass 这些。
    连算法都不用记忆。
    geekcorn
        37
    geekcorn  
       2018-06-20 08:01:53 +08:00 via iPhone
    在用免费的 avast passwords
    sujin190
        38
    sujin190  
       2018-06-20 09:52:45 +08:00
    @artandlol #8 只要是密码类型的都有可能泄露,DNA 只是不可猜测,但不代表不会泄露吧
    密码泄露了你还能改一下,DNA 做密码泄露了是不是该让你彻底消失!!
    再说生物识别向来最容易破解了吧,什么指纹,只要是你活动过的地方,满世界都是
    DEATHKEL
        39
    DEATHKEL  
    OP
       2018-06-20 10:23:01 +08:00
    只是提供一个想法(密码规则 + 算法 => 密码),密码规则,算法,字符集之类的都是可以自定义的,密码规则也不一定要是应用名称 + 密码,想怎么定义就怎么定义,主要目的是防止撞库。破解之说,赞同 @daigouspy ,超过 15 位,基本上就很难了需要大量的密码集,而且都是无规律的,不能使用特征字符串,再者不是每个应用都能让你无限次试错的
    Mac
        40
    Mac  
       2018-06-20 12:30:21 +08:00 via Android
    我现在用密码+站点名来解决撞库,撞一次失败应该不会有人重试
    codingKingKong
        41
    codingKingKong  
       2018-06-20 15:19:04 +08:00
    我以前写过一个 swing 的小程序, 用明文密码+md5+sha1 生成随机码当密码, 直到有一天我把明文密码忘了...
    galenzhao
        42
    galenzhao  
       2018-06-20 17:48:55 +08:00
    又到了安利自己做的货了

    pwd: 4testOnly
    coderfox
        43
    coderfox  
       2018-06-20 18:02:08 +08:00 via Android
    恭喜你发明了花密的竞品。
    花密有手机客户端,楼主还需要加油啊。
    DEATHKEL
        44
    DEATHKEL  
    OP
       2018-06-20 19:22:40 +08:00
    @coderfox 哈哈,可以,回头做几个各个平台的壳,刚在 Mac 上写了个 Alfred 的 workflow
    DEATHKEL
        45
    DEATHKEL  
    OP
       2018-06-20 19:23:15 +08:00
    @codingKingKong 哈哈哈哈 明文密码简单点咯
    DEATHKEL
        46
    DEATHKEL  
    OP
       2018-06-20 19:25:33 +08:00
    @galenzhao 哥,你这个要密码才能看啊
    Kagari
        47
    Kagari  
       2018-06-20 19:30:03 +08:00 via Android
    你找个简单的算法在大脑里面算咯,连算法都不知道我看你们怎么暴力破解 :doge
    haxiwa
        48
    haxiwa  
       2018-06-20 19:40:06 +08:00 via Android
    我一般都是普通密码,最后+1S,膜一蛤
    yangqi
        49
    yangqi  
       2018-06-20 21:47:25 +08:00
    @DEATHKEL 直接加盐就行了,真没必要绕那么多弯,本质都是一样的。
    mozutaba
        50
    mozutaba  
       2018-06-21 08:22:06 +08:00 via Android
    @haxiwa 我用户名是郭德纲密码就是
    chi1genyoutiao
    chi2genyoutiao
    刘德华就是
    qinfengjie1ci
    galenzhao
        51
    galenzhao  
       2018-06-21 10:35:31 +08:00
    @DEATHKEL 密码不是写在下面了么,
    pwd:4testOnly
    mostkia
        52
    mostkia  
       2018-06-21 10:57:50 +08:00
    我觉得加盐就可以了,好歹每个用户的附加字符都完全不同。而且密码超过 12 位一般就很难再撞库了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1469 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 17:18 · PVG 01:18 · LAX 09:18 · JFK 12:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.