約1年前に行った珍しいパスワードマネージャー(Win用)を共有したいと思います。 今ではそれを見せることは恥ずべきことではなく、おそらく彼はここでユーザーを見つけるでしょう: www.paranotic.com
1年前、ホスティング、レジストラ、FTP、および電子メールアカウントからのパスワードの量は、脳の悪名高い10%を超えていました。 私は、ここでの多くの人と同様に、自分のアルゴリズムのいくつかに従ってパスワードを生成したので、いつでも覚えておくことができ、「時間テスト済み」および「歴史的に確立された」パスワードのセットも持っていました。
もちろん、暗号化されたコンテナに「ファイル」があり、すべてを保存しようとしました。 最終的に、これらすべてはひどく不快になり、最も重要なことには安全ではなくなりました。 そして、私はパスワードマネージャーを探し始めました...
3つの最も一般的な部分である多くをレビューしませんでしたが、その傾向を理解し、私にはあまり向いていませんでした。 事実、私はそのようなプログラムに特定の一連の要件があり、レビューされたものはどれもこれらの要件を完全に満たしておらず、それらの類似性はさらなる検索を妨げました。 要件は次のとおりです。
1. Webサーバーへの毎日のバックアップ。
失われたフラッシュドライブを心配しないために、オプションとして、大切なファイルを手に入れることなくパスワードを「取得」できるが、ネットワークにアクセスできるようにするため。
2.ほぼノートブックのように、任意のテキスト形式でデータを保存します。
まあ、私はこれらのフィールドのセットが好きではありません! データは常にパスワードとログインに限定されるわけではありません。 あらゆる種類のピン、支払いパスワードなどがあります。 そして、多くの場合、数か月間ツイートするだけで1か月以内に見つけることができます。
3.全文検索
一般に、検索には厳しい要件がありました。 私は何百人もの人から最初の手紙を見つけたいと思っていました。 たとえば、「VTB Credit Card」の場合、これらの単語がメモのどこにどのような順序で表示されるかは関係ありません。 VTBクレジットカードの詳細を見つける必要があります! キーボードの使用を最小限に抑えるために、最近の検索のリストも必要です。
4.便利で最小限のインターフェイス。
理想的には、検索フィールドに焦点を合わせて適切なタイミングで即座に表示されるようなノートブックである必要があります。 さて、ワンクリックでデータをコピーするなど、あらゆる種類の設備(動きが少なく、長時間の非アクティブ)。
5.当然、信頼できる暗号化およびデータ処理アルゴリズム。
幸いなことに、この項目はすべての有名なパスワードマネージャーによって実行されます。
言葉から行為へ
頭をかいたので、よくあることですが、私はすべて自分でやることに決めました。 まず、信頼できるスマートな暗号化モジュールを見つける必要がありました。 すべての要件を満たす切望されたdllは、CryptoSys.netの男たちの、とがったオーストラリアの草原で見つかりました。 支払いに関するいくつかのトラブルの後、私は貴重な負荷を受け取りました。
(BlowFishアルゴリズムを使用した後の)モジュールの主な要件は、PBKDF2関数の存在です。 ご存じのように、データの暗号化に使用されるキーは、SHA-256などの「強力な」ハッシュ関数を使用して取得されます。 生成時に、パスワードがハッシュされ、キーが取得されます。 ブルートフォースパスワードをハッキングするときにも同じ操作が発生します。 そして、検索の主なものは速度です。 また、パスワード推測の速度を下げるために、科学者はパスワードベースのキー派生関数を考案しました-大まかに言って、パスワードは1回ハッシュされませんが、1000回と言います。同じパスワード長でより多くの操作。
「エンジン」を決定したので、私はプログラムに取り組み始めました。
さらに、ポイントの概念:
1.データは、1つのマスターパスワードで暗号化された単一のファイルに保存されます
ここでは珍しいことはありません。 ほとんどのパスワードキーパーと同じです。 BlowFish暗号化アルゴリズム、キー448ビット。 キー生成:SHA256 x PBKDF2
2.データはメモに分けられます。
ホスティングに関する1つのメモ(ユーザー名、パスワード、登録メール、コントロールパネルへのリンク、サポート電話)、不審な隣人に関するメモ(いつ来るか、誰が持ってくるか、電話に従うか)、3つ目は国務省の電話、キプロスアカウントの詳細などです。 .d。
メモは、つぶやきのように完全に連続テープに表示されます。 フォルダーおよびグループ化なし。 ただし、タグを付ける機能はあります。 デフォルトでは、ノートは関連性によってソートされます。 最も関連性の高いものは奇跡的に上からぶら下がっています。 他の並べ替えオプション、たとえば、最新のもの、最近編集したものなどがあります。
3.検索クエリはスペースで区切られ、個別の「単語」になります。
検索クエリの場合、検索されたすべての「単語」を含むメモのみが表示されます。 単語は引用符で囲まれています。単語の一部でも単語全体でもかまいません。 理想的には、形態を考慮したいと思いますが、手はまだこの点に達していません。
4.メモの作成および編集時の自動保存。
ここではすべてが明確です。 メモを編集すると、変更が自動的に保存されます。 Ctrl + Sなしでは生きられない場合は、無効にすることができます。
5.「穏やかな」削除ノート。
不要なメモや古いメモが一般的なテープにハングアップしないように、それらを安全に削除できます。 必要に応じて、[削除済み]タブを見つけます。
6.暗号化されたファイルをサーバーにバックアップします。
このオプションは多くの潜在的な穴のように見えるかもしれませんが、私は議論しません。 彼女は課されていません。 ファイルは安全な接続を介して送信され、それ自体が暗号化されていると言えます。 信頼できるマスターパスワードを使用すると、サーバーからデータベースを盗む場合でも、データにアクセスする可能性はゼロになる傾向があります。
回復メカニズム(サーバーからファイルを受信)は次のとおりです。
バックアップ機能をオンにして、要求時にファイルを送信する電子メールを指定します。 1日1回、変更がある場合、ファイルはサーバーにアップロードされます。 ファイルが失われた場合は、 paranotic.com / restoreにアクセスしてファイルの回復をリクエストします。 指定された電子メールに対応するファイルがデータベースにある場合、この電子メールには、ファイルへのリンクが記載された電子メールが届きます。 それらをダウンロードして、マスターパスワードで開きます。
私はメールをデータベースに平文で保存しないことに注意してください-豊富なソルトハッシュのみです。 そのため、攻撃者がデータベースを取得すると、ユーザーのメールを(迅速に)取得することさえできなくなります。 つまり、メールとデータファイルを受け取ったら、 トリックでパスワードを取得することができます。
7.データへのクイックアクセス
何度も言ったように、メモには任意の形式を使用できますが、特定の方法でテキストを作成すると、追加の機能が得られます。 たとえば、次の形式の行:
パラメーター:値
ワンクリックで値をコピーできます。 パスワードを視覚的に隠すには、パラメーターの後にアスタリスクを付けるだけです。
パスワード*:simsim
保存後、この行は次のようになります。
パスワード*:******
simsimをクリップボードにコピーするには、星をクリックするだけです。
8.ホットキー
メモを編集するとき、または表示するときに、ホットキーを押して、たとえばLogin-Password-Urlという形式のメモをすばやく作成できます。
Ctrl + L- ログインの貼り付け:
Ctr + P- パスワードの貼り付け:
Ctrl + G-パスワードを生成します(Ctrl + Gを連続して数回押すと、生成されたパスワードは「複雑」になります)。
9.プログラムウィンドウを非表示にします。
妄想ウィンドウをテーブルの端に移動すると、作業を妨げないように、画面から途方もなく離れてしまいます。 面白いジャンプアウトにするには、画面の端にマウスを移動します。 必要に応じて、「非表示」にならないように「修正」ボタンでウィンドウを修正できます。
10.自動ファイルロック。
ファイルを開いたままにしておくと、お昼に10分間、または給料のためにシェフに行っても、お勧めできません。 したがって、特定のアイドル時間の後、またはプログラムウィンドウが閉じられると、ファイルはロックされます。 しかし、また、毎回難しいマスターパスワードを入力することも、苦痛...
このジレンマを解決するために、QuickPinと呼ばれるメカニズムが導入されました。ファイルを開く短いデジタルピンコードですが、パスワードでファイルを開いた後にのみ機能します。 つまり 朝に一度パスワードを入力してから、プログラムを再起動する前に、QuickPinを使用してファイルのロックを解除できます。
11.トラックを覆い、目撃者を削除します。
このプログラムには、慢性的な妄想を喜ばせる多くのチップがあります。 たとえば、ファイルがロックされるたびにメモリダンプをクリアし、妄想で開かれた最後のファイル(最近のファイル)の出力を無効にします。
ところで、KipAsには、マスターパスワードを入力するための特別なフィールドなどの機能があります。 誰も入力されたパスワードを傍受できないように...私はまた、押されたキーのダム列挙でKipAのパスワードエントリを傍受するまで、そのようにしたかった。 だから私はこのチップを拒否し、パスワードは通常の「パスワードで保護された」フィールドに入力されます。 おそらく、これはすべてのパスワードキーパーの最も弱い点です。 しかし、私はここの誰もがすでにアンチウイルスを使用していることを望みます。
これをすべて使用する方法は?
一言で言えば、私は偏執病をどのように使用するか:USBフラッシュドライブとして使用する携帯電話を持っています。 暗号化されたファイルを保存します。 仕事中に携帯電話をコンピューターに接続すると、妄想がポップアップしてパスワードを要求します。 パスワードを入力し、妄想を閉じます。 作業中に何かを書き留める必要がある場合は、マウスを左に動かして停止します(妄想がポップアップします)。ピンコードを入力するだけです。 メモは開いています。 書き留めているか、必要なものを探しています。 携帯電話をコンピューターから切断しました-妄想が閉じ、ダンプがクリアされました。 とても快適です。
結論として
これらの基本的な機能は、パラノティクスの最初のバージョンで実装されました。 その後、あらゆる種類のささいなことが現れましたが、それを説明する意味はわかりません。 それを試してください、あなたはそれを理解します、すべてはそこに明確です。 さらに、サイトには小さなビデオがあります。
今後の予定は?
計画には、モバイルストレージを含むローカルファイルとデータを同期する機能を備えたWebインターフェイスが含まれます。 このトピックに関する研究はすでに進行中です。
コメントとコメントをありがとう。