V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
caomu
V2EX  ›  分享发现

又一个 js 的密码生成工具(bookmarklet): 1pass4all

  •  
  •   caomu · 2012-02-27 11:13:49 +08:00 · 4822 次点击
    这是一个创建于 4636 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一条密码走天下——1pass4all简介 | 冒号空间 | 郑晖

    http://blog.zhenghui.org/2012/02/26/one-pass-for-all-intro_cn/

    看介绍,应该是在密码框输入主密码后,再根据用户名hash salt生成密码自动替换密码框里的密码。就安全性与易用性来说,相当优秀呢。
    14 条回复    1970-01-01 08:00:00 +08:00
    yyfearth
        1
    yyfearth  
       2012-02-27 11:42:15 +08:00
    我也在写一个类似的东西,区别是我是有UI界面的crx程序,打算支持自动填表和智能判断。
    和你一样,发现目前网上都是给予md5和sha1的算法,而且大多用hex或者base64编码,感觉不够安全。算法也几乎和这个一样,只不过强度更高一些。但是由于时间和精力有限,完成50%,也就是能用但是必须手动输入然后生产密钥。界面完全参考了1password。
    loading
        2
    loading  
       2012-02-27 11:49:52 +08:00
    why not lastpass
    freefcw
        3
    freefcw  
       2012-02-27 11:58:30 +08:00
    还是lastpass好,能够保存密码。。。否则生成的随机密码记不住也没办法
    mcfog
        4
    mcfog  
       2012-02-27 12:09:19 +08:00
    我用=> passwordmaker.org

    lastpass毕竟是一家公司,相比之下我更信任开放的经受过考验的算法
    yyfearth
        5
    yyfearth  
       2012-02-27 12:21:50 +08:00
    @loading @freefcw 我用1password,lastpass密码在云端反而不放心,而且如果wall了怎么办。
    他这个密码生成器不是随机生成,而是根据masterkey进行hash,你只需要记住masterkey就可以了。
    而且同时由于1password和lastpass都是基于记忆密码原文,而这种生成器不会记录密码原文,只要生成算法不变,也不怕密码数据库的丢失。
    yyfearth
        6
    yyfearth  
       2012-02-27 12:27:03 +08:00
    @mcfog 确实,lz说的所用的算法以及我做的所用的算法和你说的passwordmaker很相似,而且我做的那个从功能上和这个几乎一模一样,只不过我打算做的更加好用一些,比如自动填表之类的。选项之类的和这个基本上相同。
    ihacku
        7
    ihacku  
       2012-02-27 12:38:59 +08:00
    xyz98
        8
    xyz98  
       2012-02-27 12:44:52 +08:00
    我是1pass4all的开发者,刚从博客后台看到v2ex的导入链接,特意来注册一下。需要说明的是,本程序基于的核心算法都是公开且经受检验的,当然具体实现是否有bug,由于是开源的,大家完全可以测试。而1password,lastpass的算法是闭源的,同样有其隐忧。何况lastpass在云端的安全性也被人质疑过(惨见文中链接)。@mcfog
    xyz98
        9
    xyz98  
       2012-02-27 12:52:30 +08:00
    补充一点,1pass4all与lastpass不矛盾。我个人就是把一般网站(关键网站除外)的密码用前者生成、用后者保存并自动填单的。
    yyfearth
        10
    yyfearth  
       2012-02-27 12:54:27 +08:00
    @xyz98 我就是用我那个keygen生成,然后用1password保存,只不过是因为方便。我本来打算我那个写完后抛弃1password的。
    yyfearth
        11
    yyfearth  
       2012-02-27 12:56:30 +08:00
    @ihacku 他这个貌似是随机生成密码,然后保存在chrome的keychain里面,但是问题是这样一来,其他浏览器完全没戏了,所以我感觉他这么做感觉另有目的,就是把用户更牢的绑定在chrome上。另外,感觉不靠谱的是,chrome同步被wall的问题。如果keychain丢了,那就坑爹了。
    freefcw
        12
    freefcw  
       2012-02-27 14:31:51 +08:00
    @yyfearth masterkey这种方法倒是不错的说
    goldenlove
        13
    goldenlove  
       2012-02-27 14:52:22 +08:00
    有点意思,马克下,关注下。目前使用方面还是不够方便。
    另外,是否只限制于网站密码? 网站以外的,有木有比较方便的方案?
    xyz98
        14
    xyz98  
       2012-02-27 14:59:18 +08:00
    @goldenlove 对非浏览器应用,目前有移动版可用。另外,不知你所说的不方便具体指什么呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5516 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 01:28 · PVG 09:28 · LAX 17:28 · JFK 20:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.