toerb
12.02.2015, 18:47
Hallo,
wie schauts bei euch aus mit Passwortmanagement? Alles im Kopf, Passwortdatenbanken wie OnePassword oder andere Sachen?
Ich hab mir im Rahmen eines Studienprojekts eine eigene Passwortverwaltung geschrieben. Dabei habe ich auf einige Sachen großen Wert gelegt:
Die Passwörter sollen nicht persistent abgespeichert werden
Das System sollte von jedem modernen Device aus nutzbar sein
Alles geschieht direkt lokal auf dem Client
Daraus entstanden ist diese Seite. (http://toerb.github.io/batagur/)
Das Interface hat grundsätzlich zwei Eingabefelder:
Master: Ein schweres Passwort, dass man sich merken muss. Das ist das einzige, was man sich wirklich merken muss.
Token: Ein von der Webseite bzw. dem Service abhängiger Text. Zum Beispiel "cx-sport.de".
Nutzt man nur diese beiden Informationen und drückt auf "Generate" werden das Masterpasswort und der Token 1111 mal mit SHA512 gehasht und das Ergebnis wird mittels Base91 so kodiert, dass das Ergebnis fast die gesamte Bandbreite der darstellbaren Asciizeichen beinhalten kann. (Der Nachteil von base64 ist halt die geringe Zeichenmenge).
Die Parameter wie dieses Passwort generiert wird und auch die Länge kann dann im "Expertenmodus" konfiguriert werden. Ein Salt ist übrigens ein weiterer Text, der zusammen mit dem Masterpasswort und dem Token gehasht wird.
Hat man sich jetzt so ein Passwort generiert, kann es auf diese Weise immer wieder generiert werden. Es muss also nirgends abgespeichert werden. Durch die Implementation in JavaScript werden auch keinerlei sensible Daten über http(s) versendet. Wenn die Seite im Browsercache ist, ist sie deswegen auch offline nutzbar.
Jetzt lasst mal hören, was ihr euch für Systeme zur Passwortverwaltung zugelegt habt.
Viele Grüße,
toerb
wie schauts bei euch aus mit Passwortmanagement? Alles im Kopf, Passwortdatenbanken wie OnePassword oder andere Sachen?
Ich hab mir im Rahmen eines Studienprojekts eine eigene Passwortverwaltung geschrieben. Dabei habe ich auf einige Sachen großen Wert gelegt:
Die Passwörter sollen nicht persistent abgespeichert werden
Das System sollte von jedem modernen Device aus nutzbar sein
Alles geschieht direkt lokal auf dem Client
Daraus entstanden ist diese Seite. (http://toerb.github.io/batagur/)
Das Interface hat grundsätzlich zwei Eingabefelder:
Master: Ein schweres Passwort, dass man sich merken muss. Das ist das einzige, was man sich wirklich merken muss.
Token: Ein von der Webseite bzw. dem Service abhängiger Text. Zum Beispiel "cx-sport.de".
Nutzt man nur diese beiden Informationen und drückt auf "Generate" werden das Masterpasswort und der Token 1111 mal mit SHA512 gehasht und das Ergebnis wird mittels Base91 so kodiert, dass das Ergebnis fast die gesamte Bandbreite der darstellbaren Asciizeichen beinhalten kann. (Der Nachteil von base64 ist halt die geringe Zeichenmenge).
Die Parameter wie dieses Passwort generiert wird und auch die Länge kann dann im "Expertenmodus" konfiguriert werden. Ein Salt ist übrigens ein weiterer Text, der zusammen mit dem Masterpasswort und dem Token gehasht wird.
Hat man sich jetzt so ein Passwort generiert, kann es auf diese Weise immer wieder generiert werden. Es muss also nirgends abgespeichert werden. Durch die Implementation in JavaScript werden auch keinerlei sensible Daten über http(s) versendet. Wenn die Seite im Browsercache ist, ist sie deswegen auch offline nutzbar.
Jetzt lasst mal hören, was ihr euch für Systeme zur Passwortverwaltung zugelegt habt.
Viele Grüße,
toerb