В добрый час поднял сайт: http://1pwd.org/
В основном для себя, поэтому там так жирно и красно написанно не пользоваться
Есть еще недоработки UI с копированием и понятностью. Функционально все готово, я сам пользовался этим еще до того как поднял в интернет.
Идея проста: есть мастер пароль, с него генерируются пароли для разных мест с помощью SHA-3. Помнить нужно только один пароль и не боятся, что какой нибудь форум его потеряет или использует не по назначению.
Весь код открыт и его можно посмотреть, вся алгоритмика на JavaScript(Взято из гугла). Страница после загрузки ни при каких обстоятельствах не отсылает ни чего в сеть. Специально не делал реклам и ни чего подобного, чтоб левый код не бежал на странице. (Можете проверить сниффером, фидлером и любым другим анализатором трафика. Также можно почитать скрипты и убедиться что ни чего ни куда не ворует.)

Готов выслушать критику, пожелания и вообще любого рода отзывы.
Спасибо!

Здравствуйте, Caracrist, Вы писали:

C>Весь код открыт и его можно посмотреть, вся алгоритмика на JavaScript(Взято из гугла). Страница после загрузки ни при каких обстоятельствах не отсылает ни чего в сеть. Специально не делал реклам и ни чего подобного, чтоб левый код не бежал на странице. (Можете проверить сниффером, фидлером и любым другим анализатором трафика. Также можно почитать скрипты и убедиться что ни чего ни куда не ворует.)

Чисто теоретически, то, что сайт не ворует пароли в данный конкретный момент не гарантирует, что он их не сворует в другой. В этом проблема самого подхода.

Здравствуйте, Don Reba, Вы писали:

DR>Чисто теоретически, то, что сайт не ворует пароли в данный конкретный момент не гарантирует, что он их не сворует в другой. В этом проблема самого подхода.

Верно.
Скоро добавлю кнопку "скачать", что позволит слить весь сайт и запускать локально. Это оставит его доступность, позволит предохраниться от того, что сам сайт пропадет. И открытые локально сайты без предупреждения не получают доступ в сеть. Использовать его на прямую онлайн могу позволить себе только я сам (и знакомые со мной лично), остальные на свой страх и риск. Собственно, мои заверения гроша ломаного не стаят, так что рекомендую так и пользоваться в оффлайне.

П.С. Сайт еще не закончен, о чем там жирно написанно

А не планируется ли создание плагина к браузеру или юзер-скрипта?

Здравствуйте, Caracrist, Вы писали:

C>Скоро добавлю кнопку "скачать", что позволит слить весь сайт и запускать локально. Это оставит его доступность, позволит предохраниться от того, что сам сайт пропадет. И открытые локально сайты без предупреждения не получают доступ в сеть. Использовать его на прямую онлайн могу позволить себе только я сам (и знакомые со мной лично), остальные на свой страх и риск. Собственно, мои заверения гроша ломаного не стаят, так что рекомендую так и пользоваться в оффлайне.

Но в офлайне уже есть Keypass и аналоги.

Здравствуйте, Don Reba, Вы писали:

DR>Но в офлайне уже есть Keypass и аналоги.

1. доступность (необходимость ставить софт) можно зайти с любой машины
2. ничего нигде не нужно сохранять (потерял хард и твой мастер под bruteforce)
3. открытый код на мегабайты или две странички скрипта.

Здравствуйте, Muxa, Вы писали:

M>А не планируется ли создание плагина к браузеру или юзер-скрипта?

да, но не "на неделе"

Здравствуйте, Caracrist, Вы писали:

C>В добрый час поднял сайт: http://1pwd.org/
C>В основном для себя, поэтому там так жирно и красно написанно не пользоваться
C>Есть еще недоработки UI с копированием и понятностью. Функционально все готово, я сам пользовался этим еще до того как поднял в интернет.
C>Идея проста: есть мастер пароль, с него генерируются пароли для разных мест с помощью SHA-3. Помнить нужно только один пароль и не боятся, что какой нибудь форум его потеряет или использует не по назначению.
C>Весь код открыт и его можно посмотреть, вся алгоритмика на JavaScript(Взято из гугла). Страница после загрузки ни при каких обстоятельствах не отсылает ни чего в сеть. Специально не делал реклам и ни чего подобного, чтоб левый код не бежал на странице. (Можете проверить сниффером, фидлером и любым другим анализатором трафика. Также можно почитать скрипты и убедиться что ни чего ни куда не ворует.)

C>Готов выслушать критику, пожелания и вообще любого рода отзывы.
C>Спасибо!

По-моему, полезный сервис. Я на большинстве сайтов использую один пароль (сложный). Но при мной используемом подходе компрометация пароля на одном из сайтов потенциально дает возможность заходить на другие сайты с моим паролем. Здесь на каждом из сайтов будет свой пароль, компрометация на каком-либо сайте не даст возможности узнать другие пароли (из-за SHA-3), при этом нужно помнить только один мастер-пароль. Я бы, наверное воспользовался таким сервисом.

P.S. А вот если бы еще не нужно было запоминать сложный мастер пароль, и при этом была высокая степень защиты от подбора, то цены такому сервису не было бы! Кроме биометрии в голову ничего не приходит.

Здравствуйте, Muxa, Вы писали:

M>А не планируется ли создание плагина к браузеру или юзер-скрипта?

С каких браузеров стоит начать? Мне самому нужно под Оперу и Хром, вопрос больше про следующий.

M>>А не планируется ли создание плагина к браузеру или юзер-скрипта?
C>С каких браузеров стоит начать? Мне самому нужно под Оперу и Хром, вопрос больше про следующий.
FF + Chrome — это 95% кастомизируемых плагинами\скриптами браузеров.
Хотя доля Оперы в твоей целевой аудитории довольно-таки ощутима.

Здравствуйте, itaim, Вы писали:

I>P.S. А вот если бы еще не нужно было запоминать сложный мастер пароль, и при этом была высокая степень защиты от подбора, то цены такому сервису не было бы! Кроме биометрии в голову ничего не приходит.
крипто-токены

Здравствуйте, pva, Вы писали:

pva>Здравствуйте, itaim, Вы писали:

I>>P.S. А вот если бы еще не нужно было запоминать сложный мастер пароль, и при этом была высокая степень защиты от подбора, то цены такому сервису не было бы! Кроме биометрии в голову ничего не приходит.
pva>крипто-токены

Точно, но тогда нужно озаботиться о защите доступа к криптотокену. Если PIN сильный поставить, то его нужно помнить, а чем это лучше того, чтобы помнить мастер пароль?

Здравствуйте, itaim, Вы писали:

I>Точно, но тогда нужно озаботиться о защите доступа к криптотокену. Если PIN сильный поставить, то его нужно помнить, а чем это лучше того, чтобы помнить мастер пароль?
Есть токены, которые уничтожают секретные данные после N попыток неправильного ввода PIN'а.

Здравствуйте, Caracrist, Вы писали:

C>В добрый час поднял сайт: http://1pwd.org/

Починил все известные мне проблемы UI добавил возможность скачать сайт полностью.
Убрал отпугивающую надпись

Сайт готов к полноценному использованию.
Проверял для смартфонов, планшетов, лэптопа и настольного компьютера с разными браузерами.
Единственное что не доработано, это HELP.
В будущем, планирую добавлять утилиты и плагины в TOOLS.
Рекламы на сайте никогда не будет.

Сайт нарочно очень прост.
Надеюсь, это не сильно смущает.

C>Сайт нарочно очень прост.
C>Надеюсь, это не сильно смущает.

OpenSSL Heartbleed Bug это ещё одно подтверждение, что просто сама по себе открытость кода ни от чего не защитит.
Так что, кода больше не станет и тяжелые библиотеки UI подключать не планирую.

Здравствуйте, Caracrist, Вы писали:

C>В добрый час поднял сайт: http://1pwd.org/

Новое с 09/2022 (немного с опозданием):
Local Storage support
Generated passwords — generate / cancel
Bugfix in copy-to-clipboard with successive spaces
UX improvements
Clear cookies injected by Microsoft AWS (детектит перевод)