这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
这是一个创建于 3588 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近密码被撞库撞得损失很大。 lastpass 的密码又过于复杂,而且不能在紧急时刻方便的调用出来。
有没有类似于钥匙链大小的哈希计算器,可以让我随时随地的计算“ hash(salt+网站名)”这样的密码。
第 1 条附言 2016-03-10 10:57:40 +08:00
准确的想法是,便携式哈希密码器。
1. 该硬件由指纹识别模块,九宫格键盘和段显液晶屏构成。
2. 用户需要生成密码时,只需要按上指纹,并输入 taobao 字母对应的九宫格数字(即 userstr ),即可获得唯一的密码。
3. 原理是, privatesalt 用于记录认为设定的私有的设备密码,保存于密码器中,之后不必再次输入。指纹可以转换成唯一的 fingersalt ,该 fingersalt 不必完全区分出每个人, 1 万分之一的冲突概率即可。<userstr,version>映射表保存于密码器上,也可以导出,完成 version 与 userstr 映射的关系,用来保存密码的不同版本号,用户可以通过一个辅助按钮更新一个 str 的版本号。密码器则完成计算 code=hash(privatesalt + fingersalt+userstr+version),最终显示前六位。
4. 用户心中可根据 code 的前六位再加上心中的一个固定后缀,构成最终待输入密码。
5. 期望待机时间长达数月以上。
1. 该硬件由指纹识别模块,九宫格键盘和段显液晶屏构成。
2. 用户需要生成密码时,只需要按上指纹,并输入 taobao 字母对应的九宫格数字(即 userstr ),即可获得唯一的密码。
3. 原理是, privatesalt 用于记录认为设定的私有的设备密码,保存于密码器中,之后不必再次输入。指纹可以转换成唯一的 fingersalt ,该 fingersalt 不必完全区分出每个人, 1 万分之一的冲突概率即可。<userstr,version>映射表保存于密码器上,也可以导出,完成 version 与 userstr 映射的关系,用来保存密码的不同版本号,用户可以通过一个辅助按钮更新一个 str 的版本号。密码器则完成计算 code=hash(privatesalt + fingersalt+userstr+version),最终显示前六位。
4. 用户心中可根据 code 的前六位再加上心中的一个固定后缀,构成最终待输入密码。
5. 期望待机时间长达数月以上。
 | 1 Strikeactor 2016-03-09 23:29:19 +08:00 你说银行的那个电子密码器吗 |
 | 2 xiaoyao9933 OP @Strikeactor 类似那个大小。但是应该有个小键盘,用来让我输入"salt+网站名" |
 | 3 terence4444 2016-03-09 23:33:43 +08:00 自己写个 APP 好了 |
 | 4 xenme 2016-03-09 23:34:57 +08:00 via iPhone hardware password manager |
 | 5 aliuwr 2016-03-09 23:38:02 +08:00 花密 |
| 6 xiaoyao9933 OP @terence4444 我觉得很多时候带手机也是很麻烦的,而且手机很容易没电,不耐久。密码计算器这个东西应该电量至少能用 1 个月。 |
 | 7 cxbig 2016-03-09 23:39:53 +08:00 手机上有很多 hash 软件,随便找个就行 |
 | 8 7654 2016-03-09 23:43:43 +08:00 关注 |
| 9 xiaoyao9933 OP @cxbig 非智能设备的方法有么?在手机上切换 app 也是个很痛苦的过程,有的时候还不能粘贴。 |
| 10 xiaoyao9933 OP @aliuwr 软件部分是这个原理,但是这个花密还是不够通用。 |
| 11 cxbig 2016-03-09 23:50:10 +08:00 @xiaoyao9933 这要求恐怕很难,就连直接支持 1Password 的一键填密码的 app 都屈指可数。 或者你自己做一个手机输入法,说不定可以实现你的目的。 |
| 12 xiaoyao9933 OP 最好还自带一个指纹识别模块,指纹就会自动映射为一个独一无二的 salt 。 这样在输入密码的时候,人们只需要放上手指,同时只要输入 taobao 字样即可。别人捡走,或者即使看着你输入了 taobao 也根本无法破解密码。 |
 | 13 lovez 2016-03-10 00:09:56 +08:00 via Android 好想法,试着做一个 |
 | 14 Tink PRO 生成完密码之后呢?又手工敲到电脑里? |
 | 15 brucewzp 2016-03-10 00:57:43 +08:00 写个 watch app ? |
 | 16 dapang1221 2016-03-10 01:11:10 +08:00 via Android 有戏。硬件是一个 hid 设备,有两个输入量,一个是指纹,一个是网站名,盐写在硬件里。光标停留在待输入密码的地方,然后插入这个设备,识别指纹,输入网站域名,然后这个设备模拟键盘来输入经过运算后的密码。设备可以用 stm32 的 mcu ,或者简单一点直接上 arduino 。如果再复杂一点,可以设计一个上位机程序,这样可以直接获得活动窗口的句柄,得知网站域名,然后输入量也只有指纹了。整体的安全性来讲,盐是主要的,不能泄露,所以最好再加一个算法,通过密钥+网站名来生成盐,这样安全性就更高了。(不过这么麻烦也只为了防止撞库……防不了键盘监听和中间人攻击。。) |
 | 17 abelyao 2016-03-10 02:13:40 +08:00 无法想象手工敲入电脑里 4$V1F$QTxaRYqt2k 这样的密码… |
 | 18 dphdjy 2016-03-10 02:14:31 +08:00 via Android |
 | 19 vibbow 2016-03-10 02:47:48 +08:00 via Android lz 可以买个旧款文曲星, 160 x 80 黑白屏那种。 三种编程语言可选,任你发挥。 电池用个半年一年还是没问题的。 |
 | 20 jciba5n4y6u 2016-03-10 05:55:15 +08:00 我写了个脚本,动态生成用户名和密码,输入是网站名+一个定时更换的字符串,输出是用户名、密码。 让撞库的使劲撞去吧 |
 | 21 DT27 2016-03-10 08:17:04 +08:00 lastpass 有手机客户端,很方便。 |
 | 22 873681136 2016-03-10 09:09:37 +08:00 via iPhone 指纹只能匹配,不能映射 |
 | 23 zhujinliang 2016-03-10 09:14:26 +08:00 这种根据 hash 算法的,如果你有 n 个站用这种方式生成了密码,其中一个站由于某种原因需要修改密码了,怎么办? n 个站都跟着改密码? |
 | 24 bearqq 2016-03-10 09:29:50 +08:00 via Android 不应该时候用(如) python 写个脚本放手机里 /web 服务?还可以复制什么的。。 |
 | 25 superbear 2016-03-10 10:30:32 +08:00 浏览器控制台 console 行不行? |
 | 26 julor 2016-03-10 10:33:27 +08:00 via Android 用指纹识别不就行了,第三方网站就用 qq ,微信登陆!何必这么麻烦? |
 | 27 galenzhao 2016-03-10 10:34:38 +08:00 正在设计中,准备在 kickstart 发布, |
| 28 xiaoyao9933 OP |
| 29 xiaoyao9933 OP @vibbow 哈哈倒是这个意思。不过我还是希望有指纹模块和 9 宫格的小键盘,降低输入难度。 |
 | 30 x86 2016-03-10 10:41:35 +08:00  |
| 31 xiaoyao9933 OP @dapang1221 对,我就是类似的一个思路。 @DT27 我觉得手机客户端又不能自动填写密码,而且 app 的很多密码是不能复制粘贴的,你只能先将密码誊写到纸上,然后切换软件,再填过去。 @zhujinliang 可以考虑 salt + str + ( version )构成方式。 version 信息可以保存为一个映射表 str->version ,该映射表可以简单存储。 version 由密码器自动根据 str 生成,不需要用户填写,用户只需要输入 str 。 @galenzhao 兄弟做到什么程度了? |
 | 32 fleer 2016-03-10 10:49:30 +08:00 我记得见过这样的设备,基于指纹识别,自动输入密码。。 |
| 33 fleer 2016-03-10 11:08:57 +08:00 http://tech.feng.com/2015-08-07/Password-all-forget-_621032.shtml 和这个类似,但是我记忆中的那个是国产的。 |
 | 34 1OF7G 2016-03-10 11:20:12 +08:00 via Android 我的密码一般是 6 到 8 位随机大小写字母+数字,一般都用 6 位(62^6=568 亿排列),短点因为懒+好记 我觉得在线账户安全的薄弱处不在密码复杂度上, 16 位随机码不会比 8 位随机的安全多少。 反而应该更注重:不要使用相同密码;定期修改密码;注意使用环境等等,大部分问题都出在这些地方(当然还有 123456 之类的弱密码)。 |
| 35 galenzhao 2016-03-10 12:54:38 +08:00 @xiaoyao9933 没有你想的指纹的, 功能原型已经搞定,在做密码组管理程序, 我们这个是可以插在 u 口自动输入密码, 第一个版本是硬件拨码选择密码组, 第二版是添加了 BLE 手机端 app 认证, 小巧、无需额外供电、成本低 |
| 36 galenzhao 2016-03-10 13:14:15 +08:00 @xiaoyao9933 我去!!! 和这个比较像 http://tech.feng.com/2015-08-07/Password-all-forget-_621032.shtml 我咋以前没注意过有这类的呢。。。 我是最近有个账号被社工了,为了把我所有账号的密码都 random ,不做任何算法生成才设计了新的硬件输入器 |
 | 37 sampeng 2016-03-10 15:26:44 +08:00 1password 还不够好用么。。。 |
 | 38 Izual 2016-03-12 01:04:01 +08:00 @xiaoyao9933 八位密码只有 1-9A-F ,算不上强密码吧。 |
Select Language