自己的密码是存在自建的 bitwarden 里的,也是每个站点随机生成密码,多端同步倒是方便,但有时候需要在陌生环境输入密码就变成一个很难受的情况,要么手机打开然后输入一大串随机的密码,要么就要登录网页版复制粘贴。
有精神洁癖,现在供应链攻击这么成熟的前提下,生怕自己全部的密码被一下拿走然后被别人为所欲为,所以想做个硬件来保存密码,预期的功能如下:
1 、支持多端离线在线同步
2 、支持移动 APP 选择需要的密码,硬件模拟键盘自动输入
3 、支持 TOTP
4 、支持指纹验证
5 、支持 passkey 凭据登录
大小就类似 U 盘,可以挂在钥匙链上,现在看下来售价可能会在 200 块左右。
我自己也是做网络安全方向的,自然是会有一套完整的安全模型和安全白皮书,安全性倒是不必担心。可以说就算丢失硬件,被人拆去检测,也无法恢复其中内容。
不知道各位老哥有没有什么兴趣,市面上大多数产品都是 PASSKEY 那种模式,好像都没有密码保存的功能,所以就想来看看这事能不能成。
 |
1
0x663 22h 1m ago
现有市场有类似的产品吗
|
 |
3
sun522198558 21h 45m ago
感觉一年也不会在几次陌生环境输入密码吧,为了这个小概率事件带一个硬件不麻烦吗?
|
 |
4
qwx OP @sun522198558 那可能我的工作环境不太一样吧,本质上其实也在担心电脑中毒然后被一锅端的风险,lastpass 和 github 都发生过类似的问题。
|
 |
7
east91555 20h 37m ago
功能 2 咋像 badusb
|
 |
9
Fish1024 20h 27m ago
苹果的密码不行吗
|
 |
10
sleek7671 20h 23m ago
支持移动 APP 选择需要的密码,硬件模拟键盘自动输入——这个应该挺难的吧?
|
 |
11
myderr 20h 7m ago
我都是直接手敲,因为在陌生环境输入频率不高。如果在陌生环境高频使用的话,是不是得考虑这个有没有毕竟设置这么复杂。
|
|
12
qwx OP |
 |
13
Himmel 19h 59m ago
更像是一个情绪产品,毕竟手机和笔记本电脑携带起来都很方便,很少有陌生环境的需求
|
 |
14
wctml 19h 51m ago
不会,忘记密码我就找回密码。
|
 |
15
ma46 19h 49m ago
硬件密钥弄起来挺麻烦的,我的 yubikey 吃灰好久了
|
 |
17
run2 19h 27m ago
亚马逊海外购 yubikey 海关直接不让过 呵呵了
|
 |
18
HAWCat 19h 22m ago
不会, 陌生环境输入密码的场景极少
|
 |
19
elias94 19h 15m ago
感觉自建的 bitwarden 的足够用了
 |
 |
21
mitong3269 19h 1m ago
@qwx 我就买的这个 1 2 3 代都有
|
|
22
qwx OP |
 |
23
hamsterbase 18h 24m ago  1
淘宝搜 “仿真键鼠接收器” , 大概 70
1. 接收器插电脑 2. 在密码管理器复制密码 3. 打开仿真键鼠接收器的 app 里粘贴密码(蓝牙连接,不联网 4. 仿真键鼠接收器模拟键盘输入 我之前买掌机,要输入密码都是通过这个手段来的。 |
|
24
hamsterbase 18h 23m ago
你这个硬件坏了很麻烦的。 我不会用。
|
 |
25
nc 17h 33m ago
yubikey 这种硬件密钥一般是公司给你发的,登录内部系统强制需要,为了防钓鱼。个人的话还是 1password 自动填充 2fa 方便。
|
 |
26
rick13 17h 26m ago
不会,我现在用苹果自带和 1p ,不想用实体
|
|
27
qwx OP |
 |
28
tool2dx 16h 38m ago via Android
我一直想找一个能导出 passkey 私钥的设备,防止未来物理损坏。
如果不能导出,我是不会买的。 |
 |
30
pcject 16h 21m ago
宁愿是为手表开发这样一个 APP
|
 |
31
SenLief 16h 13m ago
自己做一个 yubikey 不就好了,有成熟的方案 30 多块钱 diy 的
|
 |
32
HTravel 15h 41m ago
自己都做这一行的,为什么不用苹果全家桶?这种跟着一线生态走最方便,因为各大 app 会主动适配,你天然就是世界主角,所有人围着你转,自然而然就成了 winner 。iPhone 或 MacBook 丢了,再买一个所有 passkey 就恢复了,你的方案呢?丢了一个就是真丢了吧。如果你丢了不是真丢,你的跨设备同步时的加密机制,敢说安全级别和苹果在一个水平?
|
 |
33
47jm9ozp 15h 34m ago
yubikey 了解一下?国产的也有 canokey……
|
|
34
qwx OP |
 |
35
wwang7 8h 31m ago
@qwx 我之前考虑过想买这个 onlykey ( https://onlykey.io/)。最多可以存 24 个密码。
|
|
36
HTravel 5h 25m ago
@qwx 如果你做的是网络安全方面的软硬件研发,借助工作之便给自己顺手搞一套的确花不了多少时间和精力,那稍微值得玩一下。但出门多带一套硬件不难受吗?你能把它集成到安卓手机上才算真搞成功了。我就通过安卓 termux 环境跑我自己写的 NAS 系统。
|
 |
37
seansong 3h 55m ago
我更担心这个单点故障
|
|
38
qwx OP |
 |
39
chaoooooos 2h 38m ago
@qwx mexkey 不是集成单点登录的么?当年还魔改过源码,hh
|
|
40
47jm9ozp 2h 27m ago
|
|
41
qwx OP |
 |
42
jackOff 1h 51m ago
你说的这玩意好像国内国外都有人做产品,但是用户比较小众,可能属于极端隐私的极客才会买的产品
|
 |
43
Leeeeex PRO 硬件这种东西我个人觉得是比软件更容易坏的
至少在我用的所有工具中,硬件坏了/丢了等问题,绝对比软件故障的概率要大得多。 而且我也不相信我自己那三脚猫的加密方案,能比得上大厂面向全球用户的企业级方案。 |
 |
44
qwertyiuop 1h 19m ago
或许你需要一个 iOS?
|
 |
45
tangxiaoqiang123 1h 16m ago
支持,我也有类似需求,目前密码保存在 keepass 里,想能直接读取 kbdx 文件,看了 mexkey ,感觉比较符合,但是想更纯粹一点,插上即用,可以不要电池和屏幕。我在 kickstarter 上也看到一款 MiixKey ,感觉和 mexkey 一模一样
|
|
46
qwx OP |
 |
47
liuidetmks 52 mins ago
@run2 海关不让了? 先前 cloudflare 羊毛薅了很多 yubkey 没问题啊
|
 |
48
HankAviator 48 mins ago
现在哪还优先考虑破 2FA 了,直接盗 session 舒舒服服的,100FA 都白搭
|
 |
49
zmazon 48 mins ago
太麻烦了,可能我用不到这么高级的场景,我就买了个 U 盘就可以了
|
|
50
qwx OP @tangxiaoqiang123 我刚才给作者发了个信息,确认了就是一个团队,有点羡慕了。
|
Select Language