前几天,我看到有个兄弟发的 web3password 这个产品。
https://www.v2ex.com/t/1013351#reply14
然后我详细的看了一下他们的安全白皮书和源代码,也玩了他们说的审计模式的东西,我发现这个玩意儿完全解决了我对于密码管理器的严苛要求,好像只要我保存好助记词,数据基本就没啥问题了。
昨天摸鱼,我把大部分数据都从 enpass 搞到了这个产品里面了,用起来感觉挺好的啊。
ps: 居然不支持导入 enpass 数据,中间要倒手几次才可以,差评。
再 ps:大家还不放假么?我们苦逼要上班到最后一天,年终奖也不知道啥时候发。
1
cmdOptionKana 328 天前
一个疑问:助记词是什么,与主密码(或者用一个文件当作密码)有什么区别?
一个风险:我十几年前就开始用不联网的本地密码管理器,有一个经验教训,密码难以被破解是把双刃剑,虽然安全性提高了,但自己忘记密码就麻烦了。 事实上,就我自己的情况,十几年来基本上没人要来破解我的本地加密内容,反而我自己忘记主密码更容易发生。 因此我现在是设一个破解难度不大不小的密码,比如普通电脑连续运算三个月可以破解,这样万一我自己忘记了,还有救,而能接触我本地加密内容的人,几乎不可能有这个恒心去破解,这个可能性可以低到忽略不计。 |
2
network127001 328 天前
@cmdOptionKana 主密码简单点就好了,数据库文件我是存在家里 nas 上,不过中间还是要经过公网和 cf 的代理
|
3
guodexi OP @cmdOptionKana
我前几天也是第一次知道助记词这个东西,这几天详细看了一下。 是 比特币 为代表的加密货币在用的一套英文单词(好像也有中文的?),有 12-24 个单词,比特币用这个东西来签名交易,打包区块之类的。看起来挺新颖的。 |
4
cmdOptionKana 328 天前
@guodexi 怎样使用这个助记词去打开密码箱、关闭密码箱?每次打开都要找出词表来对着输入三四个?这样的话可能会嫌麻烦,不退出了。但一直保持密码箱打开状态,貌似也不安全(密码箱很高级,但门一直开着啊)。
|
5
liyouran 328 天前
助记词好像是能在主密码忘记的情况下使用助记词打开密码库进行恢复的
|
6
seekafter 328 天前
@cmdOptionKana 把复杂密码写纸上,公司放一半,家里放一半,但是排序是乱的.老家放个排序表/狗头
|
7
tangtj 328 天前
没有看明白, 他们到底借助 BIP39/44 做了什么
|
8
guodexi OP @cmdOptionKana
不是,我使用下来,他的助记词是存储在设备里面的,估计也是安全存储区吧? 平时使用直接点击打开使用就行了,不需要输入什么东西,也可以设置应用锁,bitwarden 也有类似的应用锁,这些都是密码管理器的基本功能。 我一般都会设置应用锁,防止有时候搞忘了锁屏电脑,被其他人点击开了看到密码。 |
9
cmdOptionKana 328 天前
|
10
guodexi OP @tangtj
https://github.com/web3password/security/blob/main/Web3Password-Security-Whitepaper-chs.md 这里有他们的一个安全白皮书,看起来,好像是使用了助记词生成的密钥加密数据?具体怎么样,我也看不太懂。 看起来好像挺厉害的?至少我目前使用,没有问我要注册邮箱、登录密码之类的,貌似我在手机上和另外一台电脑同步数据也都可以同步,都不需要邮箱和登录,都只需要使用这个助记词就可以同步到数据了。 |
11
guodexi OP @cmdOptionKana
我目前使用下来,这个产品好像没有问我要注册信息,也没有遇到要主密码的情况? 看他们的宣传语,应该是移除了主密码?好像是说主密码不安全?我估计也是,我之前主密码才 13-15 个字符。 有没有懂的大佬或者搞安全的兄弟帮忙普及一下这些? |
12
cmdOptionKana 328 天前
@guodexi
原来如此,如果不设置应用锁,那就和一个本地的明文文件差不多,凡是能使用这个电脑的人都能使用密码箱。 如果设置应用锁,那也和一个本地密码管理器差不多,都是解锁使用,整个过程助记词没有存在感。 web3password 的优点是解决了备份问题,不怕加密后的密文丢失;缺点是(与本地密码管理器相比)密文更容易被其他人获取。 |
13
stimw 328 天前
他们在 twitter 上完全没有 follower 。。。
|
14
aw2350 328 天前
enpass 挺好的,插件以及 app 都很不错
|
15
strawberrydafu 328 天前
传统的密码(或者说口令,password )不够安全的原因在于通常来讲口令的熵是不足的(也就是不够长),采用暴力搜索的方式总能破解,因此常常会选择类似 scrypt 或者 pbkdf2 这些算法来给暴力搜索加上一个非常大的常数倍数因子,来增加穷举的难度。
而现代密码学工具的可靠性来源密钥的保密性。按照目前的习惯,破解的量级在 2^128 这个级别是认为是安全的。而符合助记词约定的最短的助记词也足够了。 看了白皮书感觉没有特别特殊的,当你有了一个熵足够高的密钥之后一切都很没啥了,就是端到端加密那套 |
18
guodexi OP @tangtj
https://github.com/web3password/web3password-protocol 我玩了一下这个他的这个,应该是加密的,他的这个脚本里面,可以解密出来所有数据。 还是比较有意思的。 |
19
hefish 328 天前
助记词忘了不知道会怎样。。。
|
20
fatekey 328 天前
助记词主要是防止主密码被爆破的。现在应用最广的 BIP39 助记词标准,助记词字典里有 2048 个单词。基于 94 个可能字符(大小写、数字、特殊符号)的随机密码,要达到与 12 个助记词组合等价的安全性,其长度大约需要是 20 位。
|
21
saz 328 天前
密码、助记词等等,找个本子写下来对于现代人来说就这么难吗?
|