вторник, февраля 28, 2006

Менеджер паролей, дарю идею.

Менеджер паролей - это программа, в которую вы записываете все свои пароли для того, чтобы их не забыть. У меня тоже есть одна, в которой записаны пароли, заметки, сайты, от которых эти пароли или емайл-адреса. Все то, что не очень ценно. Что важнее - я храню у себя в голове.

Менеджеров паролей много. И даже у меня есть один, его не продаю, использую только для себя. Попытайтесь добавить новые фичи в свой менеджер паролей и вы будете лидером рынка. Все это чушь. Фичами новых пользователей не привлечь. Кому нужна фича "трехкратное шифрование пароля на жестком диске с применением самых криптостойких алгоритмов". Я бы, например, согласился и на однократное, какой-нибудь AES.

Поэтому все эти фичи - "фтопку". Создайте простой и приятный менеджер паролей, без наворотов, который каждый раз будет автоматически стартовать и сидеть в трее. Нужно вызвать программу - нажал на кнопку, вбил данные, закрыл. Никаких там автозаполнений, и прочего геморроя. Но впридачу к этому сделайте так, чтобы я из интернет-кафе смог зайти на определенный сайт в интернете и посмотреть пароль нужного мне сайта. Сделайте так, чтобы я мог читать свои заметки к паролям через сайт. Чтобы я мог обновлять список паролей через сайт. Но не нужно хранить все мои пароли в базе данных на сервере в открытом виде. Зашифруйте их надежно, на стороне клиента. И я буду первым, кто купит эту программу.

Комментарии: 7:

Anonymous Анонимный сказал(а)...

Имхо, чтобы из интернет-кафе коннектиться на домашний комп (or something) - это хохланд (c). Я думаю, лучше все-таки хранить всю информацию на сервере, но в зашифрованном виде. Аутентификация с помощью асимметричной криптографии: у сервака есть твой открытый ключ, у тебя закрытый - генерится на основе pass phrase (как в PGP).
Кстати, Microsoft сейчас нечно подобное анонсировала (MS InfoCard - будет в Vist'е) и Eclipse Foundation, но open source (Higgins Project).

6:48 PM  
Blogger Roman Pushkin сказал(а)...

Колян, ты немного не понял.

Все будет почти также как ты описал. Тотлько криптография будет с симметричным ключиком. Зачем тебе постоянно носить с собой какой-то девайс, или файл или что-то еще? Просто запомни пароль. Как обычно.

Другими словами процесс прозрачный - все также как и везде. Зашел на сайт, ввел пароль, получил доступ.

Но за этим кроется следующее:

1. Информация передается от сервера к тебе в зашифрованном виде. Отсюда следует, что на сервере никаких данных в открытом виде не хранится. И никаких твоих паролей тоже. И более того, никто и никогда не сможет расшифровать твои пароли на сервере (если только перебором - но тут все зависит от стойкости пароля).

2. JavaScript в твоем браузере принимает эту информацию, расшифровывает ее и выводит на экран. Т.е. расшифровка идет после того, как данные приняты на стороне клиента.

3. Usability forever! Никаких лишних наворотов, ввел только один пароль и получил доступ. И без ущерба конфиденциальности.

10:19 AM  
Anonymous Анонимный сказал(а)...

Ну, можно ничего не таскать с собой: из pass phrase ключ генерить каждый раз :D. Чем хороша здесь ассиметричная криптография, так это тем, что с ее помощью можно аутентификацию производить и подписывать, например, платежные поручения.

4:54 PM  
Blogger Roman Pushkin сказал(а)...

Ну понятно, что можно. Но зачем это нужно нам? :) Это всего лишь сервис, менеджер паролей. Какие платежные поручения?

А насчет ассиметричной криптографии, это уже есть. Сертификаты.

5:11 PM  
Anonymous Анонимный сказал(а)...

Ну, если идею расширить, можно из этой штуковины кошелек сделать, тут поручения и пригодятся :).

7:36 PM  
Anonymous Анонимный сказал(а)...

Есть очень простой и приятный My Password Manager например - давно уже им пользуюсь и безумно доволен.

12:34 AM  
Blogger V. Kolesnikov aka EqWu сказал(а)...

AMUST 1-Login (formerly AMUST 1-Password).
Beta (еще со старым названием) доступна на http://www.amustsoft.com/1-password/

Если будете пробовать, НЕ советую пока в бете в качестве storage использовать GMail (найдены баги, а бета необновляема), лучше Yahoo.
Релиз - в самое ближайшее время.
Но попробовать вполне можно и с бетой.

Онлайновая версия - имеется.
Если используются генерируемые пароли, то они вообще нигде не хранятся. Обычные пароли шифруются AES-128.

Любой фидбек - велкам!

2:04 PM  

Отправить комментарий

Подпишитесь на каналы Комментарии к сообщению [Atom]

<< Главная страница