Mời dùng thử trang web tạo mật khẩu ngẫu nhiên
https://www.easykeytopass.com/
Với châm ngôn, mật khẩu an toàn nhất là mật khẩu đến chủ nhân cũng không nhớ được, team của mình đã tạo ra trang web tạo mật khẩu ngẫu nhiên.
Chức năng chính: Tạo một mật khẩu ngẫu nhiên có độ dài tối đa 32 ký tự từ các từ khóa mà bạn cung cấp.
Từ khóa là từ dễ nhớ và đơn giản vs các bạn. VD tạo mật khẩu cho trang web Dạy nhau nhậu, các bạn có thể dùng từ khóa DNN, hoặc “A” (có phân biệt chữ hoa và chữ thường) để tạo password.
Khi bạn muốn đang nhập lại, thì dùng chính từ khóa bạn tạo ban đầu. Kết quả tạo ra không thay đổi đâu.
An toàn hơn các trình lưu trữ mật khẩu khác. Vì trang web này không yêu cầu bạn đang nhập, không thu thập user name, và hoàn toàn không biết bạn dùng mật khẩu cho cái gì.
Mời các bạn dùng thử.
(bí mật nhỏ: background cũng được tạo ngẫu nhiên, và đã tắt hiệu ứng để đảm bảo performance của trang web. Có mã nguồn trên git)
click “Generate password” thì nó gửi thông tin về server nào đó hay là tự tạo ngay tại browser? Tại sao lại phải gửi về 1 cái server nào đó mà ko công bố thuật toán sinh password luôn (tạo thẳng trên browser)? Và tại sao ko sử dụng passphrases thay cho password mà phải đi sinh password từ passphrases, mà mỗi lần sinh đều như nhau hết?
Bác để git ở đâu thế? Cho m.n xem được không
Kiểu như chúng ta chỉ nhớ 1 cụm ngắn, mỗi lần cần đăng nhập thì vào đấy và gõ cụm đó vào và lấy password để đăng nhập.Hiện tại thì có vẻ chưa có gì nguy hiểm nhưng ai biết tương lai sẽ chơi trò gì
Thực tế, chúng mình cũng tranh cãi rất nhiều về vấn đề tạo password ở client-site hay server site. Và quyết định cuối cùng do đa số member tán thành. Họ muốn giữ bí mật thuật toán, (mà thực tế chỉ là kết hợp các thuật toán một chiều thông thường theo 1 quy tắc riêng thôi).
Về cái
passphrases@alway5dotcom đã giải thích.ý mình là thuật toán có gì hay ho mà phải bí mật vậy? Xài 1 cái SHA256 các passphrase là xong rồi, đẻ ra thuật toán riêng chi cho khổ?
cái passphrase này có quan hệ 1-1 (hoặc n-1) với password, vậy send về server khác gì send password về server, có vẻ hơi kì cục, ko biết có nguy hiểm ko? Tại sao lại ko cho sinh thẳng trên browser?
chưa kể pass sinh ra ko có mấy ký tự đặc biệt mà nhiều website đòi, vậy cũng đâu có xài được
ví dụ thêm cho thấy nó nguy hiểm: 1 user bình thường ko biết là passphrases sẽ được send về server nào đó, vô tư đặt các passphrase là “diễn đàn, tntxtnt, hunter, horses”. Server nhận được và lưu lại các passphrase này, cuối ngày các admin lấy ra coi, à chú tntxtnt có passphrase trên diễn đàn diễn đàn là thế này, lấy nó sinh ra password dễ dàng, chôm tài khoản dễ dàng. Nếu mình ko để username vào passphrase thì mò các active users của diễn đàn cũng ra, ví dụ 1000 members mò 1000 lần là ra, thay vì mò password 1 tỷ lần ko ra.
ngay ở post #0 đã vẽ đường cho hươu tông vào xe tải, vậy là có vấn đề rồi.
bởi vậy mình muốn các passphrase này ko được send về 1 server nào đó, mà ko biết server đó nó có lưu lại các passphrase này hay ko. Hơn nữa cái gì liên quan tới bảo mật mà nghe mã nguồn đóng thì hơi ngại, trừ phi anh là công ty trăm tỷ đô như Microsoft thì may ra mình mới tin.
Send về server thì quá nguy hiểm, muốn lấy được username thì cũng đâu khó gì? Nếu không có thêm thông tin gì rõ ràng thì topic này sẽ bị ẩn do thiếu an toàn.
có mã nguồn trên git, là git nòa vậy. open source đi bác.
Có vẻ bạn chưa hiểu lắm. Trang web chỉ tạo password thôi chứ không hề biết bạn sẽ dùng nó cho websites hay app nào. Và càng không biết thông tin đăng nhập của bạn là gì. thậm chí bạn có thể tạo mật khẩu cho facebook bằng từ khóa “tweeter”.
Còn về SHA256, không phải ai cũng biết tới nó. giống như có stackoverflow rồi sao còn đẻ thêm diễn đàn làm gì cho mệt.
Có vẻ như team của bạn giả ngu hay đánh giá thấp sự ngây thơ của average users? Bạn ko biết users sẽ dùng nó cho website nào ko có nghĩa users sẽ ko include tên của cái website đó và username của họ trong passphrases. Ngay từ post #0 mình đã thấy dường như bạn đã giả ngu vẽ đường cho users include tên website truy cập của họ trong passphrases họ send về cho bạn??
Vì passphrases === password nên tuyệt đối ko được send về cái server khỉ ho cò gáy nào đó. Tên username, tên website là public, có thể mò ra dễ dàng, còn password là private, khó mò. Bây giờ mình có gửi tên site, tên username của tất cả trang web mình truy cập cho bạn thì ko có ai có thể hack account của mình được (ví dụ, ai cũng thấy được tên email của mình). Còn mình gửi tất cả password của mình cho bạn thì trước sau gì bạn cũng hack account nào đó của mình được.
Ko có chuyện tin tưởng khi bàn tới bảo mật ở đây. Mình send cho bạn data, mình phải cho rằng bạn sẽ lưu data của mình mãi mãi.
Mấy cái password manager nào mà chỉ cho store passwords trên cloud đều là bullshit hết, thậm chí họ đòi trả tiền để store password locally trên máy/browser. Bạn chỉ cho users “store” password của họ online, vậy chừng nào thu tiền để có bản offline?