V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rekulas
V2EX  ›  程序员

做了一个 lastpass 的二次加密,防范密码被周围人看到

  •  1
     
  •   rekulas ·
    del-xiong · 2016-05-17 09:15:15 +08:00 · 2599 次点击
    这是一个创建于 3115 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://git.oschina.net/splot/dopass 核心是 js 改写的著名的 php authcode 异或加解密方法,再加入了自定义 key ,安全系数极高,虽然知道 lastpass 存储的信息是已经加密了的,理论上就是 lastpass 的管理员也获取不到用户密码,但是作为一个有强迫症的程序员,始终不放心把明文信息给第三方加密。除此之外,还可以防范周围人(比如同事)"不小心"看到你的隐私密码。为了安全, lastpass 本身的密码是设置的比较复杂的,但是二次加密就可以简单点了,这样在略微影响体验的情况下增加了安全性。
    http://git.oschina.net/splot/dopass/tree/lastpass_v3.2/
    这个就是把 dopass 和 lastpass 结合起来的插件,效果如下

    dopass

    除此之外,我还拓展了新的用途,比如把 vps 的登录信息存储在笔记中,然后加密存储

    dopass

    甚至我连信用卡 公积金卡等各种卡的信息也存在 lastpass 里面,很多都不需要用 evernote 了

    dopass

    不过这样有个问题就是只能在电脑上使用,又舍不得购买 lastpass 会员,所以我又自己写了个小程序,把 lastpass 的数据导出来自己做了个安卓 app(数据也都是加了密的),然后 app 用 dopass 解密(幸好用的 js ,跨平台无压力)

    ryd994
        1
    ryd994  
       2016-05-17 10:41:12 +08:00
    真要安全请用硬件密钥
    无论怎么折腾,密码最终还是可读可解密的,而且解密所需的密钥的复杂度是人力范围内
    和硬件密钥不可读、试错自毁,完全不是一个级别

    数据安全用 gpg+智能卡
    vps 可以用 gpg-agent 登录
    密码我用 kwallet ,用 gpg 后端

    重复造轮子……
    rekulas
        2
    rekulas  
    OP
       2016-05-17 10:48:39 +08:00
    @ryd994 硬件的话 对体验影响太大了 至少以目前的技术我是不会使用的
    未来几年如果能够脑波验证 倒是可以考虑
    ryd994
        3
    ryd994  
       2016-05-17 11:08:17 +08:00
    @rekulas 并没有影响,比输密码更简单
    yubikey
    annielong
        4
    annielong  
       2016-05-17 11:48:40 +08:00
    想起很早之前自己曾用过的加密方法, MD5 出 16 位密码只输出 10 位,哈哈
    直接出超长密码不一定安全,有些代码写的不严谨的话会出问题,修改密码的时候可以输入 16 位,但是前台登录就不认 16 位,以前某戴尔笔记本的 cmos 密码,还有 dnspod 某段时间的密码,都是这样,修改密码成功了,但是登录时候就出错。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2837 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 00:26 · PVG 08:26 · LAX 16:26 · JFK 19:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.