常用的各种密码管理软件能信任吗？简单粗暴地撸了个密码管理的工具，求吐槽

世界上又多了一个不懂密码学就瞎折腾出来的作品

瞎折腾是真的，不懂密码学是真么看出来的呢，😂

keepass 挺好的，离线的

@herozzm +1024

http://git.oschina.net/splot/dopass/tree/lastpass_v3.2
我也有和你一样的担心 不过我撸的是针对 lastpass 密码管理的二次加密，二次加密后再上传给第三方加密，安全性提高数倍
国内也有个花蜜的可以实现高安全因为是动态生成不存在泄露问题，不过我经常用密码管理软件记录一些个人信息所以不适合我

给后来者看:
shapass=$(echo -n ${username}${concat}${keyword}${concat}${passphrase} | sha256sum | awk '{print $1}')

然后后面取值的时候竟然不是进制变换, 是每两位 hex 然后取可显示的部分.

看了下貌似也是和花蜜一样动态生成？

挂在内网就不怕不懂密码学了，明文都没事。
@fcicq 你说是吧（滑稽

@lslqtz 所谓"挂内网"的最终解法其实是 HSM 对吧.

@fcicq 我的密码是维护在多台设备的文本上的。。 2333
在 vps 上挂个 HTTP 认证然后放密码 只开放 80 也没啥问题。

keepass 还是值得信任的
网站名+密码取 hash 的做法还是有些问题，要是某些要素忘记了就不好办，泄露了也不好改

@lslqtz 重放，至少得搞个证书吧。。

@GhostFlying HTTP 认证是得上 HTTPS 。

@lslqtz 不过这种 web based 的现在有 KeeWeb ，其实就是 KeePass 的 web 客户端

google 下 random symbol generator ，各种大小写、数字字符都勾选了，生成十几行随机密码。打印出来，狡兔三窟，存成 txt ，放开启两步验证 googledriver/ dropbox 里，安全得很。只要记住用随机密码阵列你选取的密码的坐标即可。

@wevsty 之前也用过 keepass ，有次忘记备份数据库文件，蛋疼的改了好久的密码

具有同样想法的神经病一枚。

https://tools.appinn.com/mi-plus.html

@alay9999 😄，功能好多，看来花了不少心思；一对比，我这简直简陋

@fcicq 进制转换指的是？最后生成密码必须要转成可打印字符，要不没法用啊
```shell
((num=16#${shapass:$i:2}))
```

@feixchow 然而懒成了狗，各种扩展客户端虽然心里有想法，然而一直并没有做








所以一直被人称作坑王……

我用花密~

@feixchow base64, 58, 36 之类本质是进制变换啊. 没有必要丢弃不能打印的数据

我看到你们说的，也在写一个页面进行加密。

@fcicq 撸代码时考虑过这个问题，因为 base64 生成的字符集有限，要想构成强密码需要再添加一些特殊字符；我就用了比较 dirty 的方法，其实完全有更优雅的实现方式 😅

@lslqtz 哈哈

自己设计一条公式在不同网站有不同密码，无关紧要的网站用个简单密码。有没人像我这样？

1Password 用户表示，后悔当初没买 LastPass

暂时没写删除功能，很垃圾的一个 PHP ，主要是在 Cookie 上傻逼了半天。
https://encrypt.acgn.xyz
密码 testlogin

发现一个 bug 。。开修

效果如下。
http://233.dog/f_65192565.png
加密算法是，先进行 99 次的 MD5 加密，再将其进行 99 次的 SHA1 加密，再进行 99 次的 MD5 加密，最后进行 99 次的 SHA1 加密。

对了，也不要试图进行 SQL 注入了。
他使用的是 txt 存储的。。
遇到空白行会直接不显示该行。

楼主加油，

keepass 有安卓版 chrome 还有插件能帮你保存网页密码 挺不错

只是生成密码？命令行的 pwgen 不好用吗？

Gayhub
Gayhub
Gayhub
( 三遍）
233333333

一直用花蜜🌸，觉得挺好的。

keepass

为什么你们就不能协助改进 keepass ，要和你们一直骂的所谓自主产权一样？做一些破轮子！

https://github.com/chenze/his

his: A command-line-based password management tool

密码管理工具的密码都是随机生成的 12 位大小写字母+数字+特殊字符混合。

@lslqtz
「世界上又多了一个不懂密码学就瞎折腾出来的作品」

1. 多次 hash 并不会增加强度
2. 同时使用 MD5 和 SHA1 ，会降低 SHA1 强度，即使你最后用的是 SHA1 ，有效空间也只有 MD5 的 128 bits

自己撸了一个离线版，自己用。。。一站一密，缺点是需要手机才能登陆。

用这种办法生成随机密码，简单

http://imgur.com/a/LeliZ

@lslqtz 没有 sql 注入要考虑 xss 啊， 2333

@lslqtz 简单测试下，勿怪

"1. 多次 hash 并不会增加强度 "

我不认可这条说法，虽然多次 hash 并不会改变冲撞的概率，但黑客一般都是会先尝试字典攻击，而不是随机暴力概率攻击。

进行单次 SHA1 和 99 次的 SHA1 计算，明显后者黑客的破解代价更高，也更安全。

“安全"这个概念是相对的，让破解流程和代价足够复杂，比如 D 加密，也是变相增加安全系数。

咦，我也撸了一个，还没发布，正在打磨中～

顺便问下各位大神，不懂密码学，直接上 bcrypt 去加密解密，这样有问题么～

多次 hash ，黑客一样可以使用字典攻击。

@megatron

两者计算量不一样啊，同一份字典，多次 hash 计算量要大很多。这就是安全系数。

@lslqtz 哈哈，有意思

@dejavu 多谢

就不吐槽自己写加密算法和受迫害妄想症了。。。
我用 LastPass ，多终端同步，一个主密码，网站、应用自动填充。
感觉还好。是因为我没有被攻击过么？

@loading KeePass 目前的功能实现已经很完善了，有能力当然会协助改进；但是各种导出导入数据库文件，在设备比较多的时候感觉特别烦啊

@loading 而且这个应该还谈不上自主产权吧，仅仅是一个小尝试，😅

搞得好复杂，反正我所有普通网站密码一样，网银的不太一样。。
我不担心被破解，只要不涉及到资产，就没什么。
---
很多人吐槽网站输错密码提示“账户或密码错误”，这其实就是防止暴力

@3dwelcome 只要黑客的字典里面有你的密码，单次 HASH 和多次 HASH 是一样的，除非每次 HASH 的时候都加不同的盐。

密码软件主要功能是防止自己忘密码，不是为防黑客，

@googlebot 同感，一是防止忘记密码，二是可以多网站多密码，三是不需要费力考虑如何构造密码

Hash 就不是为安全性而出现的。不过我认为每次 hash 都会丢失掉原始的信息，数学渣无法算出极限下的情况，请数学大神来推理一下。

@leloext

老外有测试的方法，就是随机生成一亿数据，然后对数据进行 md5()或者 md5(md5())，然后看结果集里相互冲撞的数量，越少证明对原始信息的保护性越好。

老外提供了一个结果， md5 每递归一次，能保持 98%的原始数据信息。我也没验证过-_-

@feixchow 页面没看到回复，没考虑 xss ，是我的失误。
个人表示，只要站不被拿下就 ok 。

艾错，@loca1h0st 。
没收到提醒。。
我的目的是站不被拿下，这是随手写的，懒得那么完善，

@loca1h0st

@binux 是瞎折腾啊。。
但是配合上这么多层加密，也不一定能那么容易撞开吧。

@loca1h0st 我的目的是只要密码不泄露，密码随机强度够安全，站不被拿下就 ok 。
关于密码学啥的。。瞎折腾而已，只要加密时的随机密码字符串够安全就没事。
并没考虑到 XSS ，一会给你发个感谢。

ok ，是我的忽疏，忘转义了。。
<del>感觉自己就像个 sb 。。</del>
http://233.dog/f_17550354.png

keepass 配合 dropbox 跨设备根本没问题。
Lastpass 是存在云端，所以跟钱相关的密码我都不用它存。它胜在方便，所以存一些网站密码。
因为密码在服务器上就担心，真有点受迫害妄想症了。

和钱相关的、我都自己算 hash,这种帐号也不多。安全第一。

@SpicyCat KeePass 配合 dropbox 同步密码文件确实是一个很棒的解决方案

@wojiaodaxiaxia 本人？看过你的直播= = #

@lslqtz 从数学上来说，多重 MD5 或多重 SHA 并没有更安全，而可能更不安全 -- MD5 算法本身就会有很多轮（ 16 轮）的一个计算，这个轮数是精心挑选的，多一点其实并不会更安全

也来凑个热闹: http://pezy.github.io/password/, 只用了 SHA-1 加密.

一直自用, 所以设计的很简单.

@Clarencep 只是防止撞库应该够了吧。。就是解出来也是另一个 MD5

附 KeePass KDBX 文件结构 https://gist.github.com/msmuenchen/9318327

@pezy 感觉很好

@feixchow 我没说你这个是主主产权，你这个是我上面话中的“轮子”…

@pezy 好像还是在访问网站的时候，需要进入密码生成页面，输入 user, app, 1pass ，生成一下密码，然后复制出来。
感觉没有改进你说的如下问题。

我依然采用自己设计的规则管理密码，如微博、 QQ 、知乎、豆瓣、百度等等，我不想每一次浏览器缓存失效时，都掏出手机，输入长长的主密码，然后翻到要找的网站，然后显示该密码。本来是一个直接登录的简单过程，却生生因为所谓的安全性，变得极其复杂。就如一台高效运转的新操作系统，偏偏要给它装上一大堆杀毒软件，各种安全卫士，让其生生变成一台“卡巴斯基”。真不知道这是否得当。

安全不安全, 不取决于你用了什么复杂的算法; 而在于是否会被别人轻易的知道你用的是什么算法;
所以, 在你不会加壳, 不会反反编译等等情况下; 你用 100 次各种算法的组合什么的都是徒劳

@muziling 我抱怨的问题是, **我的 1Password 仅有手机端**, 而我最经常需要密码的时刻都是在 PC 端上网时, 麻烦之处在于:

1, 掏出手机麻烦
2, 对着手机上毫无规律的字符串, 照着抄都容易出错, 还慢.

而我设计了网站之后, 可以通过收藏夹随时调出该页面, user, app, 1password 都是我极其熟悉的信息, 敲入过程非常快. 最后生成的密码, 也是一键复制, 粘贴即可. 省去了我大量的时间. 如果是手机上用密码, 也是一样, 网页的快捷方式可以直接固定在首屏, 打开之后, 输入三样信息, 然后就可以复制密码了. 某种意义上讲, 这也是一种跨平台的应用...

当然这仅仅只是针对我个人的需求, 就像上面那么多人都用了基于云的 Lastpass, 或是用了 Dropbox 同步 keepass 的方式, 也都不存在我抱怨的问题, 只不过, 方便快捷与否, 因人而异了. 至少我觉得足够了.

我觉得 lastpass 很安全，完全搞不懂这种折腾的意义在哪

keepass 是文件，但是可以用坚果云同步啊

我只知道我在密码学上的水平肯定没 Lastpass 里的那堆大佬强，所以对我来说当然是放在 Lastpass 上更安全。