V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
clacf1
V2EX  ›  问与答

有木有一种密码生成工具,输入网站或者提示词,自动根据预设的规则生成密码?

  •  
  •   clacf1 · 312 天前 · 2193 次点击
    这是一个创建于 312 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这样就不用记忆密码了,举个例子,v2ex.com 输入进去,输出 xxxxx 。 离线就可以算出密码了。

    31 条回复    2024-01-19 15:06:19 +08:00
    clacf1
        1
    clacf1  
    OP
       312 天前
    https://flowerpassword.com/
    结案了,貌似就是这个玩楞
    AoEiuV020JP
        2
    AoEiuV020JP  
       312 天前
    这种我希望能简化一下算法让人脑在一分钟内可以算出来,不知道有没有可能,
    依赖第三方的话我为什么不用专业的密码管理器,离线谁都可以离线,
    allplay
        3
    allplay  
       312 天前 via Android
    我也考虑过这个问题。
    也可以把密码字符在脑中进行运算。
    比较简单的是字符替换,可逆,易被破解
    稍复杂的是单向字符替换,不宜被破解
    更复杂的可能超出人脑承担能力了
    allplay
        4
    allplay  
       312 天前 via Android
    比如键盘数字小键盘,以前的数字可以对应电话拨号的字母。这个可以做一个字母到数字的单向映射。
    allplay
        5
    allplay  
       312 天前 via Android
    我想这个东西主要目的是为了避免所有网站使用相同密码。不同网站的代表字母对应一个数字。理论上是可以的,缺点是一旦其中一个密码被破,其它密码依然处于危险状态
    7h3d4wn
        6
    7h3d4wn  
       312 天前
    1. 一站一码的工具很多, 找个开源的且健壮的就可以
    2. 人脑的 entropy 和计算能力都有限, 要在 1min 算个健壮的密码出来, 不大行, 最多就是一个固定的复杂密码+网站域名
    比如, 固定复杂密码是 T0morrowIsAnOtherD4y, 在 V2EX 的密码可以是:T0morrowIsAnOtherD4y+v2ex.com
    1145148964
        7
    1145148964  
       312 天前
    hash 自己加盐,最可靠
    76
        8
    76  
       312 天前
    leonshaw
        9
    leonshaw  
       312 天前 via Android
    KDF?
    tool2d
        11
    tool2d  
       312 天前
    @clacf1 1.工具最好要离线 2.要知道算法,万一有一天网站下线了怎么办。
    Sting1226
        12
    Sting1226  
       312 天前
    我都是用了 lastpass 生成密码,然后记住。我懒得记密码。
    x86
        13
    x86  
       312 天前
    花密,以前在异次元上推荐过也用过一段时间
    cmdOptionKana
        14
    cmdOptionKana  
       312 天前
    自己做一个吧,输入一句话,转 md5 或 sha256 之类的(自己选一种),再转 base64 ,再决定取第几位至第几位(比如 11-21 ,每次都是这一段),搞定。

    没人知道你采用哪种摘要算法,也没人知道你取第几位,知道了就可以离线算出密码。
    faithxy
        16
    faithxy  
       312 天前
    自己做一个生成规则记在脑子里就行比如:v2ex.com 首字母或者缩写往后加两位 v 就是 x ,末尾字母往前减两位,x 就是 v ,在加上一些固定的数字字母大小写什么的,一个简单的规则,自己就能计算也不用离线存储了
    ryV60s
        17
    ryV60s  
       312 天前
    @tool2d 花蜜算法很简单的。ios ,搭配捷径不要太爽,Android 就自己写个简单的 app ,windows 使用 quicker 一键获取浏览器地址更爽
    tool2d
        18
    tool2d  
       312 天前
    @ryV60s 还以为不开源,查了一下,原来开源。主页上也不弄个 github 图标。

    就是算法很“自制”,作者把自己的生日也写进去了。
    Ericality
        19
    Ericality  
       312 天前
    发散了一下
    如果根据网址直接进行不可逆变换 那使用同一个网址还是同一个算法的人得到的结果就一样了
    于是就要加盐偏移 其中可能的有 用户的自定义词 可选的预设词汇 各种连接符
    但是这样除了第一种无形之中缩小了攻击时的选择范围
    而第一种的话 用户的自定义词就成了整个系统最薄弱的一环 优点是记住一个复杂密码就好了 但是同时攻击者掌握一个复杂密码全网的账号就都没了(和密码管理器有点像) (这里之所以可以覆盖是因为网址和生成算法都是开源的)
    此外 因为网址如果加参数 以国产的尿性后面一堆不唯一或者部分唯一的跟踪参数 你不是同一时刻复制出来的网址都是不同的 所以取域名比较好 但是这种情况同一个域名 + 都用生日做提示词的用户 密码直接一样了...
    所以这就要求加盐的提示词不能重复 或者不能大面积重复 于是我能想到的就是干脆生成 uuid 好了
    那么我们一开始的问题是啥来着? 哦 创建一个好记且可以自动填充的密码
    那以 uuid 的复杂程度为什么不直接用它呢?
    而且离线还有个问题就是 当你在一个陌生电脑临时登录的话 要怎么做呢? 生成那一长串你也不想手动输入吧?
    要不还是个密码管理器+一个复杂密码?
    反正你在一个陌生电脑先打开网页登录一下 就全都有了.....
    OnlyShimmer
        20
    OnlyShimmer  
       312 天前
    @AoEiuV020JP 你对象生日(如果有)/名字大写拼音首字母开头+@+网站网址/网站中文拼音小写
    Byzliu
        21
    Byzliu  
       312 天前 via Android
    @Ericality 最终还是随机复制密码+密码管理器😂
    YsHaNg
        22
    YsHaNg  
       312 天前 via iPhone
    lchynn
        23
    lchynn  
       312 天前
    找个在线/离线 HMAC_SHA 工具, 网站 URL 作为文本串,你在该网站的用户名作为 Text 密钥,也可以加一个自己知道的 salt 值简单前缀,比如 20230101 或者你生日年月日;
    然后生成的 SHA 值,取开头 10 位作为密码即可。
    例如 网站(文本):www.v2ex.com, 用户名 clacf1 吗, 加了 salt 就是 密钥为 20230101clacf1;
    生成的 HMAC_SHA1:3DA3D6C99CF4AECC00ABDE43A9148EDDD697F6D8
    取前 10 位:3DA3D6C99C
    作为你这个网站的密码即可。

    HMAC_SHA 加密算法是开源的,工具随处可见。
    wyx119911
        24
    wyx119911  
       312 天前
    如果网站要求特殊密码规则,比如必须有特殊符号、规定长度和大小写,怎么办?
    stimw
        25
    stimw  
       312 天前
    能人脑简单算的还有点用。。不能人脑算的为什么不用密码管理器?
    hj960511
        26
    hj960511  
       312 天前 via Android
    恕我直言,没有密码才是最好的密码。
    yangxiaopeipei
        27
    yangxiaopeipei  
       311 天前
    @tool2d 夹带私货🐶
    alading11
        28
    alading11  
       311 天前
    @AoEiuV020JP #2 自定义规则就行,比如用网站名+自己姓名缩写+生日再加一个自己的专属单词再加两个特殊符号,已经属于强密码了
    AoEiuV020JP
        29
    AoEiuV020JP  
       311 天前
    @alading11 #28 你这种规则密码的明文太简单,有点应付,
    我希望是多少能有点雪崩效应的,需要一定计算的,明文泄露也猜不出规则,
    wdssmq
        30
    wdssmq  
       311 天前
    GenCode - 一个特殊的 TOTP 生成工具 - 水水的演示站
    https://demo.wdssmq.com/tools/GenCode/

    我的方案是不基于网站,而是基于时间。。

    选一个剩余周期适中的四位字母拼接在密码后边,用几次就能记住最新的,旧的如果不需要手动输一般不会主动改,需要手动输的就会事实层面按一定周期修改。。
    hj960511
        31
    hj960511  
       309 天前
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1255 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 18:04 · PVG 02:04 · LAX 10:04 · JFK 13:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.