Pull to refresh

vPass: страничка на Javascript для максимума безопасности и минимума мучений при работе с паролями

Information Security *Website development *JavaScript *
Уважаемые Хабраюзеры,

позвольте представить вам микро-веб-приложение, которое я создал для решения своей собственной проблемы — сделать так, чтобы работа с моими паролями в Интернете была более безопасной и менее трудоемкой. Просто я приболел, и чтобы не валяться без дела, решил испытать себя и за 24 часа сделать веб-сервис, который не стыдно миру показать. Плюс еще денек ушел на написание текстов.

Сам генератор

Информация и видео-демка

image

Вкратце:
  • вам нужно запомнить один «мастер»-пароль, и vPass генерирует уникальный пароль на его основе, для каждого сайта.
  • vPass генерирует бессмысленный набор букв и цифр (по умолчанию 12 символов), которые практически невозможно угадать.
  • vPass сделан для быстрой работы с клавиатурой. Введите мастер-пароль, Ctrl-C, Ctrl-W, готово!
  • vPass не «хранит» ваши пароли (и вообще ничего не хранит). Ваш пароль никуда не передается. vPass не обменивается данными с сервером — просто скачивает html-страницу в браузер.
  • Работает на любой платформе с веб-браузером. Windows, Mac OS X, Linux, Android, iOS, Windows Phone, webOS, и любая ОС будущего!
  • Вместо «домена» сайта можно использовать любое «имя пользователя». Я генерирую таким образом пароли для Linux-пользователей.
  • Для полной уверенности, вы можете скачать vPass и запускать со своего компьютера.


Тема не нова —
Хранение паролей без их сохранения
Простой метод хранения паролей в голове
Как просто запоминать пароли
Простой метод управления паролями для параноиков

Смею, однако, надеяться, что моя реализация покажется вам наиболее удобной.

Еще пара цитат из F.A.Q.:

  • vPass принимает 2 параметра — мастер-пароль и домен (имя пользователя). Если вы открываете vPass через расширение или букмарклет, домен считывается автоматически. То есть если в браузере открыт адрес accounts.google.com, vPass установит значение «домен» = google. Остается только набрать мастер-пароль и нажать Enter.
  • vPass склеивает мастер-пароль и домен в одну строку. Затем из нее генерируется уникальный пароль. Например если ваш мастер-пароль — sopli (не рекомендую! слишком простой), домен = google и длина = 16, то из строки sopligoogle будет получен пароль "f6pzQ3MthBzpEdSO". Скопируйте его, закройте vPass и вставьте в форму входа.
  • Насколько безопасен vPass?
    Настолько, насколько безопасен ваш мастер-пароль. Теоретически, если мастер-пароль легко угадать, и нехороший человек угадает, что вы используете именно vPass, то он получит доступ ко всем вашим паролям. К счастью, сгенерированные пароли никак не выдают свое происхождение, а vPass еще совсем не популярен, так что можете не волноваться :)
  • Как мне генерировать одинаковый пароль для всех суб-доменов сайта?
    при чтении домена, vPass делает это автоматически — отбрасывая суб-домены и TLD. Остается только «смысловая» часть. Например, у amazon.fr и amazon.com единая база аккаунтов, и vPass корректно поставит просто «amazon» в обоих случаях.
  • Я могу доверять vPass? Что делать, если сайт пропадет?
    Отличный вопрос — еще раз призываю скачать локальную копию. Что касается сервера — на нем отключено вообще все, даже access logs. И как я уже говорил, сервер только отдает данные, но не принимает.


Надеюсь, кому-нибудь, кроме меня, vPass покажется полезным, хотя поскольку логи отключены, я даже не узнаю, сколько человек им пользуется :)

[Update]: Огромное спасибо комментаторам за отличную дискуссию! Постараюсь в течение пары дней сделать обновление, с учетом всех полезных замечаний. Старый алгоритм останется (для поддержания обратной совместимости), но появятся новые (более лучше :-) ), поэтому погодите пару дней, прежде чем начать реальное использование. Спасибо!
Tags:
Hubs:
Total votes 77: ↑68 and ↓9 +59
Views 5.3K
Comments Comments 110