V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lygmqkl
V2EX  ›  程序员

来聊 2 块钱: 准备做一个密码管理网站,不知道是否有市场

  •  
  •   lygmqkl · 2015-10-19 17:13:01 +08:00 · 10259 次点击
    这是一个创建于 3309 天前的主题,其中的信息可能已经有所发展或是发生改变。

    主要实现以下功能:
    1. 用户可以新建密码事项,然后随机生成高强度密码,或者用户也可以自己输入,哪怕是 123456
    2. 按照用户设定定期发 email 提醒用户修改密码
    3. 默认密码分级,帮助用户实现好的习惯

    主要特点就是云端存储了吧,也不用做 app ,直接浏览器打开就行, angularJS 做个 SPA

    很久不在国内混迹,不知道这样的东西是否有需求

    PS :全免费无广告,不求赚钱

    欢迎大神拍砖

    thx.

    105 条回复    2015-10-21 10:53:33 +08:00
    1  2  
    gimp
        1
    gimp  
       2015-10-19 17:15:29 +08:00   ❤️ 7
    用户为什么信任你
    Xs0ul
        2
    Xs0ul  
       2015-10-19 17:16:32 +08:00   ❤️ 1
    1 、如何与浏览器自带的密码管理竞争?
    2 、如何与 lastpass 之类的竞争?
    gimp
        3
    gimp  
       2015-10-19 17:16:32 +08:00
    需求是有,既然不图赚钱,可以开发出来放到 Github 上
    lygmqkl
        4
    lygmqkl  
    OP
       2015-10-19 17:19:03 +08:00
    @gimp 这倒真是一个问题,但是并非不可避免,我们可以把这个做成一个双盲的情况,比如密码为空只推送密码修改的邮件(改变习惯),在或者是一串密码中的一部分用作密码,加之可以把密码事项的名字写的隐晦一些。

    只是充当容器。
    ibugeek
        5
    ibugeek  
       2015-10-19 17:19:08 +08:00   ❤️ 1
    云端的密码不放心
    lygmqkl
        6
    lygmqkl  
    OP
       2015-10-19 17:20:15 +08:00
    @Xs0ul 这也是个问题,做为 chrome 的用户,我觉得云密码保存也很好用。只是一个想法拿出来讨论,永远比闭门造车要强。
    youxiachai
        7
    youxiachai  
       2015-10-19 17:20:47 +08:00   ❤️ 1
    onepassword ..
    lygmqkl
        8
    lygmqkl  
    OP
       2015-10-19 17:21:14 +08:00
    @ibugeek 为何? 如果做成二级密码应该就很安全了,大密码套小密码,而且除了你没人知道密码针对的 source 是什么。
    lygmqkl
        9
    lygmqkl  
    OP
       2015-10-19 17:22:56 +08:00
    @youxiachai 有 web 版?
    RickyBoy
        10
    RickyBoy  
       2015-10-19 17:26:02 +08:00
    怎么跟 Lastpass 和 1Password 之类比
    Slienc7
        11
    Slienc7  
       2015-10-19 17:26:42 +08:00 via Android
    Lastpass,1password
    FradSer
        12
    FradSer  
       2015-10-19 17:27:16 +08:00
    LastPass 对于企业来说也不贵啊,为什么要用一个「免费」却不「可靠」的。
    explon
        13
    explon  
       2015-10-19 17:28:46 +08:00   ❤️ 1
    像网易一样数据库被端了咋办?
    EPr2hh6LADQWqRVH
        14
    EPr2hh6LADQWqRVH  
       2015-10-19 17:29:30 +08:00
    twor2
        15
    twor2  
       2015-10-19 17:31:25 +08:00   ❤️ 1
    我的支付账号 [email protected] ,请支付 2 元
    chinvo
        16
    chinvo  
       2015-10-19 17:35:49 +08:00
    用户为什么信任你?
    非要信任云端, LastPass 貌似也不贵的样子。
    不信任云端,商业的有 1Password ,开源的有 KeePass
    iShao
        17
    iShao  
       2015-10-19 17:36:28 +08:00 via Android
    免费有 keepass , last pass , 1password 你怎么竞争?
    v1024
        18
    v1024  
       2015-10-19 17:36:30 +08:00
    云端存储…… 给这自信点赞
    lygmqkl
        19
    lygmqkl  
    OP
       2015-10-19 17:39:17 +08:00
    @explon 第一个邮箱 - 123456 这样的信息被盗又能怎么样?我的重点不是账号和密码的匹配,我的重点是密码的管理
    @RickyBoy 可能唯一的差别就是设计的时候尽量做到弱账号处理,我只存储密码的 100%-120%(允许存在虚假信息),然后对于账号可能只存一个概述,但是确实有重复造轮子的嫌疑。
    @avastms 这个只是生成,追述怎么实现呢?
    lyz1990
        20
    lyz1990  
       2015-10-19 17:46:19 +08:00   ❤️ 1
    不是钱不钱的问题啊。我相信你的话,付费用着也安心;我不信你,你给我钱我也不敢用啊。
    Clarencep
        21
    Clarencep  
       2015-10-19 18:10:45 +08:00   ❤️ 1
    需求肯定是有的。只是信任问题很难解决。
    建议搞个 APP 用来记录 /生成密码,然后加密存放后可以同步到 dropbox 、百度网盘、微盘等等云端。
    加密算法一定要选很强的公开算法,比如 AES-256 ,并且所有代码开源,放 github 。

    呃,好像有人已经做出来了这款 APP
    zjb861107
        22
    zjb861107  
       2015-10-19 18:19:14 +08:00
    用户为什么信任你
    gamexg
        23
    gamexg  
       2015-10-19 18:33:21 +08:00   ❤️ 1
    用户信任问题可以尝试学习 chrome 的密码同步策略。
    增加一个同步密码,所有的密码使用同步密码 js 加密后上传到服务器保存,同步密码不要上传到服务器。
    dark456852
        24
    dark456852  
       2015-10-19 18:39:15 +08:00   ❤️ 1
    容易每天被人 DD
    lygmqkl
        25
    lygmqkl  
    OP
       2015-10-19 18:39:21 +08:00
    @gamexg 那如何应对同步密码丢失的可能?


    @Clarencep 真的已经有了吗?求 github uri


    @lyz1990 我很赞同你的说法,只是有一个想法拿出来讨论下,如果真有必要就做一套出来,毕竟讨论令大家进步嘛,对吧

    感谢各位的参与。
    sun2920989
        26
    sun2920989  
       2015-10-19 19:24:09 +08:00
    如果不求赚钱 那么开源吧 否则的话客户也许会觉得既没有广告也不收费的密码管理网站别有用心 没办法 人心不古就是这个意思 只为名气的话开源更有利于传播
    impony
        27
    impony  
       2015-10-19 19:27:58 +08:00   ❤️ 2
    很多年前有一个“花密”,思路很不错,只需要记住两个东西:
    1. 记忆密码:选择一个与个人信息无关的密码,防止社会工程学破解
    2. 区分代号:用于区别不同用途密码的简短代号,如淘宝账号可用“ taobao ”或“ tb ”等

    http://flowerpassword.com/app/web
    codeninja
        28
    codeninja  
       2015-10-19 19:30:15 +08:00 via Android
    这种 APP ,业务本身技术 20%,安全支撑技术 80%。
    XianZaiZhuCe
        29
    XianZaiZhuCe  
       2015-10-19 19:34:59 +08:00
    谁都会键盘,赶紧做。别理他们说的。
    phithon
        30
    phithon  
       2015-10-19 19:35:53 +08:00
    zhicheng
        31
    zhicheng  
       2015-10-19 19:39:42 +08:00
    1, 无法找回密码。
    2, 单点故障,你的服务挂了,我全部帐号还登不上去了。
    3, 暴力破解,解开一个密码,所有的密码全到手。
    4, 开源证明不了任何事,服务器的代码,分分钟就能改掉。相反,开源的更不安全。
    Felldeadbird
        32
    Felldeadbird  
       2015-10-19 20:00:13 +08:00 via iPhone
    @zhicheng 开源不是不安全,是加密的算法正常人压根做不好。
    Delbert
        33
    Delbert  
       2015-10-19 20:26:52 +08:00 via Android
    我有管理信用卡的需求,但是不放心放到第三方,还是自己写吧
    gamexg
        34
    gamexg  
       2015-10-19 20:32:10 +08:00
    同步密码丢失就没什么好办法了。
    也许可以再弄个找回安全问题,用安全问题答案加密同步密码,然后将加密后的同步密码保存到服务器?
    lygmqkl
        35
    lygmqkl  
    OP
       2015-10-19 20:34:22 +08:00
    @zhicheng
    @Felldeadbird
    @sun2920989
    跟朋友吃饭的时候讨论了下,可以考虑架构开源,但是加密不行,甚至一定程度上说,不开源更安全,特别是在中国。

    可以考虑完全开源,大家 git 下来,自己改改,都做成自己的秘密花园的样式。
    lygmqkl
        36
    lygmqkl  
    OP
       2015-10-19 20:35:22 +08:00
    @Delbert 到时候可以分享给你,自己架设一个,改一下就可以用了。
    lygmqkl
        37
    lygmqkl  
    OP
       2015-10-19 20:36:32 +08:00
    @XianZaiZhuCe 还是需要吸收大家的建议,公开讨论还是好的。
    lygmqkl
        38
    lygmqkl  
    OP
       2015-10-19 20:37:58 +08:00
    @zhicheng 原则上,密码用户是会自己保存一次的,就像我在 Mac 上把密码存到 Notes 上面,使用的时候 copy 一样,应该没有人会每次都登录网站抓密码下来,然后再登录吧,夸张了。

    其实我想做的更像一个备忘录的模式。 模式再琢磨一下。
    lygmqkl
        39
    lygmqkl  
    OP
       2015-10-19 20:38:46 +08:00
    @codeninja 要是在不牺牲大家安全的前提下,还是想试试,这个对我来说诱惑很大,太有意思了。
    lygmqkl
        40
    lygmqkl  
    OP
       2015-10-19 20:40:01 +08:00
    @gamexg 这样做是可以,可是是不是有点耽搁了?
    lygmqkl
        41
    lygmqkl  
    OP
       2015-10-19 20:41:08 +08:00
    @impony 花园我看了,确实是一个不错的选择,思路拓展了,非常感谢。
    Delbert
        42
    Delbert  
       2015-10-19 20:42:24 +08:00 via Android
    @lygmqkl 信用卡有卡号 有效期 属性( V M U J D Ae 等) 个人卡公务卡 CVC 单芯片单磁条芯片磁条等各种属性而且一定涉及金钱……
    odirus
        43
    odirus  
       2015-10-19 20:45:30 +08:00
    放心,密码当然不能托管在网上。我一般是自己的密码也记不住,用的时候就点忘记密码重置,哈哈哈
    lygmqkl
        44
    lygmqkl  
    OP
       2015-10-19 20:46:14 +08:00
    @Delbert credit card 我还没有考虑,暂时只考虑了 username/password 模式, 如果要考虑 cc 存储只能明码了,因为加密 /解密本是双刃剑,我在想 能不能在设计上提出密码泄露的危险。

    我一直是这样想的,这也是拿出来讨论的关键。
    Felldeadbird
        45
    Felldeadbird  
       2015-10-19 21:02:01 +08:00
    楼主你想多了,开源和不开源何来安全和不安全之说呢?开源会让你考虑的事情更深入。例如:我这样设计的代码,其他人使用会不会有问题?
    闭源的情况下,我不需要考虑别人的问题。我只需要专注我此环境的需求则可。
    但到头来,被黑的始终会被黑。就像 IOS 。一直安全。可一个 xcodeghost ,就干出了大事。
    Rememberautumn
        46
    Rememberautumn  
       2015-10-19 21:08:47 +08:00
    看看奶罩做的 www.yangcong.com
    djyde
        47
    djyde  
       2015-10-19 21:14:31 +08:00
    我很好奇,用密码生成工具设定的密码,在移动端是怎么录入密码的?我没有用过这类产品,大家是怎么用的。
    andy12530
        48
    andy12530  
       2015-10-19 21:40:07 +08:00
    rshun
        49
    rshun  
       2015-10-19 21:44:48 +08:00
    @djyde 复制,粘贴
    auther
        50
    auther  
       2015-10-19 22:06:28 +08:00
    最好能自由设置模板,各种自定义前缀,就像 safeincloud 那样
    wd0g
        51
    wd0g  
       2015-10-19 22:13:52 +08:00   ❤️ 1
    我觉得密码被这个时代淘汰只是时间问题

    应该解决的问题是用什么来代替密码这个东西
    zhicheng
        52
    zhicheng  
       2015-10-19 22:46:03 +08:00 via Android
    @Felldeadbird 你没懂我的意思,用在服务器上的代码,开源不开源根本就没有意义,因为站方完全可以在用户不知道的情况下改掉代码。
    ianisme
        53
    ianisme  
       2015-10-19 22:48:25 +08:00
    那不就是洋葱?
    RitianZhao1988
        54
    RitianZhao1988  
       2015-10-19 22:53:30 +08:00
    永远不会信任国内此类服务
    wuhusihai
        55
    wuhusihai  
       2015-10-19 23:15:11 +08:00
    lastpass 吧。。。 而且 我也不在里面存重要密码的。。。 这东西 只有自己脑子是靠谱的。 不过他的自动生成密码挺好的。

    关于自己做一个 估计也就自己敢用 而且 也不好说
    RqPS6rhmP3Nyn3Tm
        56
    RqPS6rhmP3Nyn3Tm  
       2015-10-19 23:15:13 +08:00 via iPad
    想法很好,可是同类产品太多了……在安全问题上大部分人应该还是很谨慎的
    个人感觉密码被淘汰只是时间问题,以后肯定证书登陆会普及开嘛
    楼主可以造个过渡期的产品我觉得会有希望的
    RqPS6rhmP3Nyn3Tm
        57
    RqPS6rhmP3Nyn3Tm  
       2015-10-19 23:17:22 +08:00 via iPad
    顺便一提, 1Password 真的好用到爆炸,相见恨晚
    hiroya
        58
    hiroya  
       2015-10-19 23:36:08 +08:00 via iPad
    即使有了也不敢用,也不会有用户信任,可能法律上也会叫停…
    窝觉得用张纸写下来是最好的,原始,安全,方便,断网断电时也能用也安全
    towser
        59
    towser  
       2015-10-19 23:37:11 +08:00
    吴洪生的洋葱令牌已经做的很好了。
    zhicheng
        60
    zhicheng  
       2015-10-20 00:14:56 +08:00
    @lygmqkl 正好相反,加密算法往往不是弱项,只要 follow 一些基本原则就好。最弱的,其实是你的代码,你的逻辑。安全不是一个点,而是一个面。
    RickyBoy
        61
    RickyBoy  
       2015-10-20 00:22:23 +08:00
    @lygmqkl 弱帐号处理?那使用场景是什么呢?单纯为储存密码而存储密码?安全固然很重要,但是首先要实用(我个人的见解)
    sogisha
        62
    sogisha  
       2015-10-20 01:15:15 +08:00
    除非你能证明你的密码体系是安全的。是学术上的证明,不是管理上。
    ibcker
        63
    ibcker  
       2015-10-20 01:30:26 +08:00
    参考 1Password
    Liyuu
        64
    Liyuu  
       2015-10-20 01:37:20 +08:00
    没太看明白干什么用的。密码存在你那里,然后你定期发 email 提醒用户改密码吗?那你直接定期提醒不就完了,为什么要把密码存在你云端呀?存在你那里的用途是什么?
    zzy8200
        65
    zzy8200  
       2015-10-20 02:44:01 +08:00 via iPhone
    sloppysop
        66
    sloppysop  
       2015-10-20 06:03:41 +08:00 via Android
    我觉得做一个硬件更好, USB 的,或者有个小屏幕,类似于卡贴之类的可以随身携带,有蓝牙模块,可以连上手机编辑 。甚至小米手环加一个小屏幕也行。
    bugsnail
        67
    bugsnail  
       2015-10-20 08:35:55 +08:00
    论持久战.....
    Admstor
        68
    Admstor  
       2015-10-20 09:23:13 +08:00
    你可以把精力重点在自动修改密码上
    软件自动定期甚至每天都修改一次密码
    但是因为结合了自动登陆,所以用户的使用成本还是很低的
    这种设计可以保证用户即便泄露了密码,在进入黑产之前就失效了

    这种设计甚至可以引入到企业管理领域
    毕竟企业的密码管理也是很复杂的,这样你就可以有利润来源了
    lovedboy
        70
    lovedboy  
       2015-10-20 09:31:52 +08:00
    haha1903
        71
    haha1903  
       2015-10-20 09:36:33 +08:00
    帮楼主堆块砖:

    我一直在用 1P ,需求是自动录入密码、带密码保存文档、保存软件注册码。

    楼主提到存部分密码 + 自己的 Salt + Source :不能自动录入,每次要去查,那必须要方便才行。
    保存文档没问题
    保存软件注册码,就一定要全明文的,涉及到信任问题。
    aivier
        72
    aivier  
       2015-10-20 10:07:15 +08:00
    安全 /长久,大多数人会选择闭源软件或是开源项目
    janxin
        73
    janxin  
       2015-10-20 10:36:17 +08:00
    恩,黑掉楼主那个网站就好了
    visonme
        74
    visonme  
       2015-10-20 10:47:33 +08:00
    市场很多,但是如何取得客户的信任,让客户使用你的服务是个问题,针对个人来说,都喜欢了本地软件的密码存储,而对于这种类似云服务的密码存储,怎么改变大家的观念是个挑战哈? 说白了还是个安全问题
    kepenj
        75
    kepenj  
       2015-10-20 10:52:20 +08:00
    只要敢对外运营,就有人敢脱你裤
    wshcdr
        76
    wshcdr  
       2015-10-20 11:04:32 +08:00
    不太看好,主要是云的信任问题
    heqichang
        77
    heqichang  
       2015-10-20 12:17:44 +08:00
    @sloppysop 国外好像有人做硬件了,密码保存在一个 u 盘类似的东西上,然后还能通过指纹登录。 36kr 上看到的有视频介绍,忘了叫啥了,可以搜搜看
    yotsuki
        78
    yotsuki  
       2015-10-20 13:53:15 +08:00
    这类工具很多,也有不少成熟的产品,前面已经有人说了。
    我的想法,不做 web ,做客户端 PC/移动端,不设共有服务器,提供私有服务器端源码或 bin ,用户可以自己假设到自己的服务器 /NAS/智能路由中。
    也就是说开发者 /运营方根本无任何途径和可能得到用户的密码才能使用户信任。
    frozenshadow
        79
    frozenshadow  
       2015-10-20 14:17:48 +08:00
    @wd0g
    @sloppysop
    @heqichang

    密码是用来证明“你就是你”的一个令牌。生物认证应该会更靠谱。
    arens
        80
    arens  
       2015-10-20 14:39:40 +08:00
    几年前就有这个想法了,还做了计划,然后又被自己推翻~
    eliteYang
        81
    eliteYang  
       2015-10-20 15:09:01 +08:00
    有市场,但是用户为啥信任你,各大厂商凭啥信任你
    nullcc
        82
    nullcc  
       2015-10-20 15:09:39 +08:00
    万一被黑了你就呵呵了
    ajan
        83
    ajan  
       2015-10-20 17:18:38 +08:00
    有时候自己都靠不住,还信你一个网站?
    7z7
        84
    7z7  
       2015-10-20 17:21:56 +08:00
    曾经我也有一个跟你一样的想法。。。
    czrdzj
        85
    czrdzj  
       2015-10-20 17:37:11 +08:00
    做个开源 php 的 web 程序,给用户自己架应用。。。
    tempuseraccount
        86
    tempuseraccount  
       2015-10-20 17:42:21 +08:00
    你在安全方面能比国内 BAT 网易新浪什么的做得更好吗
    不能的话,用你的网站来管理这些国内网站的密码,岂不是相当于在本来就千疮百孔的墙上又凿一个洞
    hging
        87
    hging  
       2015-10-20 18:00:50 +08:00
    1password 还真有 web 版.
    SonicY
        88
    SonicY  
       2015-10-20 18:08:24 +08:00
    可以搞一个开源的私有云加密存储
    aluo1
        89
    aluo1  
       2015-10-20 19:06:02 +08:00
    没有办法让绝大多数用户信任,这才是最大的问题吧
    而且 1Password, iCloud KeyChain, 浏览器自带储存密码功能,都和你说的有所重合
    不过这个想法挺好的,给题主点赞!
    yeh
        90
    yeh  
       2015-10-20 19:51:10 +08:00
    所有云端存密码的我都不信。

    所以自己写了个算法,根据 username , app , salt 生成密码,缺陷是每个应用的密码都不一样记不住,每次都要生成(所以我都勾选记住登录状态)

    为此,做了一个网站(纯静态,无服务端),和一个 chrome 插件。不过 chrome 插件也没打算保留客户端密码记住功能,宁可每次生成。
    lovedboy
        91
    lovedboy  
       2015-10-20 22:04:59 +08:00
    vivisidea
        92
    vivisidea  
       2015-10-20 22:20:13 +08:00
    赶紧先做出来~
    c43035
        93
    c43035  
       2015-10-20 22:20:52 +08:00
    我会觉得你是个密码收集器,,,
    manfay
        94
    manfay  
       2015-10-20 22:41:59 +08:00 via iPad
    我在用一个另类的密码管理 app 是这样的,输入网址,自动生成一个密码给你用。这是一个本地 app ,密码不上传,但是生成密码的算法是固定的,所以可以在另一台设备还原密码,只要输入相同的主密码就行。这很方便,次要密码可用。
    Taojun0714
        95
    Taojun0714  
       2015-10-20 23:08:02 +08:00 via iPhone
    我告诉你,只要你是中国人,中国的企业,中国的项目,这种服务我的安全感是零,你们说的话我一个字不信,你们的承诺我一个字不听,你们的没下限程度我可以以最大恶意来揣测,明白了吗,你做这个。
    twor2
        96
    twor2  
       2015-10-21 02:31:59 +08:00
    msg7086
        97
    msg7086  
       2015-10-21 04:53:24 +08:00
    做个硬件大概销路还好点。
    sNullp
        98
    sNullp  
       2015-10-21 06:55:42 +08:00
    之前做过一个类似的东西: http://www.v2ex.com/t/125965#reply5
    我的想法是服务器不用存储密码,只存储算法。然后用 GoogleAuth 拿到 key 就可以根据算法生成密码。

    这样只要牢记 Google 账户的密码就没问题。
    Slienc7
        99
    Slienc7  
       2015-10-21 08:34:10 +08:00 via Android
    @djyde Lastpass 在安卓下可以自动填充 App
    oott123
        100
    oott123  
       2015-10-21 09:04:32 +08:00 via Android
    要翻页了, KeePass 用户表示问候。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2611 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 05:29 · PVG 13:29 · LAX 21:29 · JFK 00:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.