花密--将密码藏在花蕊中

目前最好的密码管理方案

Posted by DullCat on March 8, 2018

对于密码,想必所有人都不会陌生,现代社会的每一个人几乎都有数不清的密码, 像是银行卡密码,支付密码,手机密码,社交账号密码,游戏密码,网站密码. 账号+密码是现代网络区分用户的必要验证,如果不法分子拥有了你的密码就等于拥有你的账号的所有权限 ,比如提取你在银行的存款,利用你的社交网络进行诈骗等等,密码的重要性不 言而喻,而只要你使用有关个人的服务,你就无可避免的要设置密码.

但是,那么多需要填写密码的地方,如果所有需要密码的地方都填写相同的密码, 那么一旦一条密码被泄露出去,那么则意为着所有的密码都被泄露了, 更有一种可能,如果一些小网站的运营者本就是准备来"钓鱼"的, 在用手机号和常用的密码注册之后,运营方拿到这些数据去"撞库", 鸡蛋当然不能放在一个篮子里,况且就算我们认为密码泄露是极小概率事件, 假定他不可能发生,但是,各个产品,服务的运营方也不是同一个,制定的密码规则当然也不尽相同, 有的密码要在6位以上,有的要以英文为首字符,有的不允许弱强度(需要同时包含字母和数字)的密码, 必须要包含特殊字符,有的又不允许包含特殊字符,银行,支付等重要密码有的甚至不允许输入生日等等, 连密码规则都不同,怎么可能只输入一条密码呢?

既然密码很多又有些许不同,那么问题又来了,那么多不同的密码怎么可能记得住嘛, 人脑又不是电脑,不常用的东西几乎不可能长时间记忆的,有了, 我们可以用电脑保存啊,用的时候去查不就完了?可是我出门的时候, 或者想用手机登录某网站的时候怎么办?开机?手机也备份一遍? 不,那样太繁琐,并且数据可能会丢失,必须要多端同步才行. 那就必须要利用线上服务了.

可是线上服务并不能信任啊,"2014年2月14日汉庭2000万开房记录遭泄露", "2014年5月13日小米800万用户数据泄露 ","2014-12-18日130万考研用户信息被泄露", "2014年12月26日12306网站超13万用户数据遭泄露"...... 不仅大公司不能保证数据的安全,连政府相关的也不能完全保证, 要不去租个小型服务器,自己保管?不,自己租的服务器就没有可能泄露? 只要在网上留有痕迹,就有可能泄露!况且服务器并不便宜.

世界上最安全的地方在哪里?Your Brain! 然而人脑是记不住这么多不同的密码的. 而且密码还不能太简单,太简单的密码是很容易被穷举法给暴力破解的. 如果人脑能记住,那我们也不会去考虑这么多了,但是人脑记住一个密码肯定是绰绰有余的啊.

show

花密的官网

而今天的主角–花密,则可以完美的解决以上问题.

他用一个私钥加上一个网站或服务的标识,然后用算法生成一一对应的16位以英文为首字符也包含数字的字符. 这样即保证了密码复杂性,密码也适用于大多数规则, 也不会让密码形成"以一应百"的窘境,同时他只是一个密码生成器, 密码不会留下痕迹,并且可以多端同步.

如果花密暗中保存了我的私钥或者在我输入私钥的时候被他人截获, 又或者因为种种原因我的私钥泄露怎么办?那不就等于知晓了我所有的密码? No Problem! 就算私钥被知道了又何妨?你知道我是谁吗? 我生成的密码对应那个账号?

当然,如果你觉得相同的私钥,同样的算法,会生成一样的密码, 还是有可能被”撞库”,你也可以自己在算法上加点盐,花密已经在GitHub上开源了.


DullCat(一个PHPer)的博客

只要我奔跑的速度够快,就无所谓失去


本文总阅读量