【个人账号密码安全管理器】求意见？

leiyin

想开发一个个人密码管理器，求指导！

1、近年来互联网安全事件频发，csdn密码泄露事件仍然余音乍现。从中可以窥见，在网络中活跃这么一群黑客，他们时刻准备盗取QQ、微博、论坛、社区的账号密码，把这些账号用来搞营销、炒作、诈骗。通过这些账号能够盗取用户以及好友的个人信息（住址、邮箱、电话号码），这些信息可以用来发送推销、骚扰、诈骗之类的邮件、短信、电话。

2、随着移动互联网的发展，使用手机聊天、发微博已经普及到每一个智能手机用户，通过手机进行支付、理财也如家常便饭。智能手机必然成为前述黑客的阵地，因此对账号安全也提出了更高的要求。

3、ATM机已经取代了很多银行窗口，非现金支付手段也已经被广泛接受，取现、存款、POS机刷银行卡、信用卡时都需要输入密码。当卡片丢失或者卡片信息被人复制，如果密码简单、易于破解，卡片盗刷情况极有可能出现。

为应对上述密码泄露风险，必然需要做出以下几点。
1、不同账号不同密码。
2、密码必须复杂。

那么每个人都有10-100个账号密码需要记忆。仅凭大脑显然不够用，如果自己能记住的密码还是安全的密码吗？或许很多人都听说过迷幻剂骗取银行卡和密码事件，这并不是传言而是事实。一个好的密码就是自己记不住的密码，记不住必然需要找地方存。电脑手机里的常规文件吗？网上下载的密码管理软件吗？密码管理云服务吗？
常规文件就不用说了。密码管理软件有没有可能有后门？密码管理软件会不会容易被破解？你敢把密码存储到别人管理的云服务主机上吗？

当下，我们提供了一种全新的硬件解决方案。它只有U盘大小，自带一个显示屏，如果要查看密码需要先确认指纹；它没有wifi、蓝牙等无线通讯设备，做到了网络隔离；它采用了有效的加密手段，存储的密码经过了高强度加密。



简介
本系统分为密码查看硬件和上位机密码管理软件两部分组成。
上位机密码管理软件创建密码库，将密码库烧写到密码管理硬件中。密码管理硬件用于查看密码库中的密码。aaaa

下图为密码管理硬件图示

使用方法
一、硬件
1、首次使用
（1）长按开机键，打开密码查看器。
（2）屏幕提示初始化指纹。将指纹传感器扫过指头，第一次输入指纹。
（3）屏幕提示确认指纹。将指纹传感器扫过同一指头，第二次输入指纹。如果两次指纹一致，硬件初始化成功，进入密码查看界面。
（4）如果两次指纹不一致从头开始输入指纹。

2、查看密码
（1）长按开机键，打开密码查看器。
（2）屏幕提示验证指纹。将指纹传感器扫过指头。
（3）指纹验证成功后进入密码查看界面。
（4）拨动翻页滚轮，查找账户。

（5）按查看键进入详情。拨动翻页滚轮可以退出详情。
（6）长按关机键，关闭查看器。

3、快速销毁所有密码
（1）长按开机键，打开密码查看器。
（2）按住开机键，同时滚动滚轮6圈。

4、重置密码管理硬件
（1）首先销毁所有密码。
（2）按住开机键，同时滚动滚轮6圈。

二、软件
1、密码管理器必须先初始化。
2、将密码管理硬件连接到电脑并开机，启动密码管理软件。将密码管理硬件的指纹传感器面扫过指纹，指纹验证通过后密码管理软件进入密码管理页面。
3、密码创建和修改完毕之后下载到密码管理硬件。

必要参数
1、尺寸要适中，能够挂到钥匙扣上。
2、待机时间要长，最好半年不用充电。
3、充电使用USB接口。

其它目标
1、成本要低，最好所有硬件加起来不超过50元。

leiyin

今拆了一个农行的U盾，发现使用的是Z8D168U芯片，是个51单片机，想问个问题，我能自己修改程序吗？要是可以的话就可以先用U盾构建一个测试硬件。

hushaoxin

话说要是你这个玩意儿要是掉了或者坏了咋办？掉u盘那还不是随便的事

armstrong

开发一个android应用行不？

chengpiaopiao

搜 passwordBox

rgb0

hushaoxin 发表于 2014-10-18 21:31
话说要是你这个玩意儿要是掉了或者坏了咋办？掉u盘那还不是随便的事

这个值得考虑

ycping

有个东西叫KEYPASS的，多平台开源密码管理软件。
直接装个做手机上面就行了。

gy54321

这是个比较危险的东西， 除非有Z.F.支持， 像银行U盾一样，其实破解很容易， 只是没人敢去破而己， 你个人搞这么个东西，似乎没保障！！！

aammoo

leiyin 发表于 2014-10-18 21:18
今拆了一个农行的U盾，发现使用的是Z8D168U芯片，是个51单片机，想问个问题，我能自己修改程序吗？要是可以 ...

可以改，中兴的单片机

aammoo

我上家公司给国外客户做过这种产品。带双模蓝牙和触摸键盘，手机电脑通吃。不过成本。。。呵呵

torpedoingstar

开发个android的程序就可以了,什么算法都行,动态密码,自己定义

leiyin

hushaoxin 发表于 2014-10-18 21:31
话说要是你这个玩意儿要是掉了或者坏了咋办？掉u盘那还不是随便的事

数据有备份，备份数据是加密的，加密是根据个人指纹的信息加密。
丢了之后只需要再买一个新的，数据放进去就可以使用。个人指纹就是密码！

leiyin

torpedoingstar 发表于 2014-10-19 10:05
开发个android的程序就可以了,什么算法都行,动态密码,自己定义

手机这东西安全型也不知道啊，有没有后门也不知道。
网络上的密码管理软件可信度也不高，只有本地实现记录，可靠性才高。

leiyin

aammoo 发表于 2014-10-18 22:56
我上家公司给国外客户做过这种产品。带双模蓝牙和触摸键盘，手机电脑通吃。不过成本。。。呵呵 ...

有详细资料吗，可以看看产品都有什么功能。成本有多高？

leiyin

gy54321 发表于 2014-10-18 22:31
这是个比较危险的东西， 除非有Z.F.支持， 像银行U盾一样，其实破解很容易， 只是没人敢去破而己， 你个人 ...

学习技术，不破解U盾。我用它的硬件，刷别的程序用作密码记录。

zck9

支持开发密码安全管理器

OTD_WIND

太阳能充电实在点，USB太麻烦了

aleyn

KEYPASS for andriod

darkness27

可是得随身带着这么个硬件。有点麻烦。。。

hushaoxin

leiyin 发表于 2014-10-19 12:16
数据有备份，备份数据是加密的，加密是根据个人指纹的信息加密。
丢了之后只需要再买一个新的，数据放进 ...

怎么备份呢？传到电脑上？传到你们的服务器？
我既然相信你们的电脑软件是安全的为什么不相信别家的电脑软件是安全的呢？而相信电脑软件是安全的前提下为什么我不用一个纯软件的管理器呢？不是和你抬杠，是你没有一个让作为一个消费者的我用的理由。

torpedoingstar

leiyin 发表于 2014-10-19 12:18
手机这东西安全型也不知道啊，有没有后门也不知道。
网络上的密码管理软件可信度也不高，只有本地实现记 ...

自己开发啊,你会搞单片机,学学android什么的不是很难的,我就自己写了个本地的记录密码的,aes128加密,加个网络功能很easy的事情

leiyin

hushaoxin 发表于 2014-10-20 08:53
怎么备份呢？传到电脑上？传到你们的服务器？
我既然相信你们的电脑软件是安全的为什么不相信别家的电脑 ...

数据当然是你自己备份啦。不上传服务器。

xiangxiadage

一直用开源的KeePass http://keepass.info/download.html
有人移植到Android和iOS
//今天发现原来还有个KeyPass

笑笑我笑了

一直用lastpass……

xstt

东西一掉，密码数据刚没备份，或者你备份不是最新的话，你怎么破？ 这个东西送我也是不会用的。

leiyin

看到已经有指纹USB KEY了！http://www.techshino.com/product/detail.html?id=31

zsg211550

至少我不会把所有的账号密码轻易交给一个软件保存，iphone照片还能泄露了，一切皆有可能啊

fiddly

这玩意上电脑了还能保证安全么？我咋知道你后台联网啥的，要做也就是个小设备，除却一切外部连接。