1
Tumblr 2020-11-27 15:42:54 +08:00 18
只有绝对不安全,没有绝对安全。
|
2
chinvo 2020-11-27 15:43:57 +08:00 via iPhone
只要放服务器上就不绝对安全,更何况你这密钥还是和 openid 有关的
|
3
cmdOptionKana 2020-11-27 15:45:11 +08:00 via Android 4
你做密码软件,自称绝对安全也太不负责任了吧... 提示风险才是更让人信赖的做法。
|
4
301 2020-11-27 15:49:22 +08:00 via Android
啊这,这谁敢用
|
6
EasonC 2020-11-27 15:51:49 +08:00 via iPhone
无 github 开源,怎么谈安全
|
7
xfgk OP 看来大家疑虑重重呀!
|
8
Tink 2020-11-27 15:54:09 +08:00
不敢用
|
9
imn1 2020-11-27 16:03:37 +08:00
提醒一下:微信号可改的
|
11
xfgk OP 谁能告诉我如何上传小程序码的图片?
|
12
xfgk OP |
13
Saszr 2020-11-27 17:21:09 +08:00
啊 这... 没多端同步算不上便利,存你服务器你又不是大厂也不安全
你不如做个基于 keepass 的小程序,我看好像没人做这个。 |
14
RudyS 2020-11-27 17:28:33 +08:00
只有绝对不安全,没有绝对安全。
|
15
xfgk OP @Saszr #13 存在微信服务器的,且都是密文,除非黑客攻破微信服务器,知道你的微信 ID 且知道从 ID 生成公钥的规则,知道你的私钥,否则别想拿到你的明文数据
|
17
seanxx 2020-11-27 17:53:13 +08:00
1.绝对安全不成立
2. 免费的成本最高 |
18
Leonard 2020-11-27 17:56:51 +08:00
因为世界上没有绝对安全的程序……你宣传绝对安全在 V 站就是找杠的
|
19
dbw9580 2020-11-27 18:02:44 +08:00 via Android 1
首先,
>只要微信号不注销 放到现在看这是个很强的前提假设,建议把“只要”改为“只有” 其次,你说用的是非对称加密,有公钥私钥,但我看到私钥是用户提供的,公钥又和用户 ID 相关,请问用的是什么非对称密码算法可以做到这一点? |
20
poxiaobbs 2020-11-27 18:02:47 +08:00
没开源,谁知道你存没存 (狗头
|
21
cmdOptionKana 2020-11-27 18:06:44 +08:00 7
|
22
arthas2234 2020-11-27 18:10:18 +08:00
没有背书,没有开源,还放在微信上,不敢用
|
23
kuro1 2020-11-27 18:14:37 +08:00 1
未公开算法,没有同行审议,宣称绝对安全。
说客气点叫缺乏常识。 |
24
wangyadong 2020-11-27 18:35:57 +08:00
没有绝对安全,只能做到相对安全。
|
25
superrichman 2020-11-27 18:43:15 +08:00 via iPhone 2
缺乏社会的毒打 🐶
|
26
6jiayoung 2020-11-27 18:46:34 +08:00
扫码输入 test 123456 试用了一下,emmm....
全程体验就毫无安全感😂 |
27
yushiro 2020-11-27 18:50:25 +08:00 via iPhone
微信小程序是拿不到微信 id 的,要么你拿到的是 openid,以为是微信 id 。
其次,数据都是依托于你这个微信小程序,万一哪天小程序的帐号出了点问题,所有信息都遭殃。 |
28
littiefish 2020-11-27 19:16:46 +08:00 via iPhone
不敢用,腾跃啥背景,不知道?
|
29
QUIOA 2020-11-27 19:20:32 +08:00 via Android
看到微信就散了
|
30
jaynos 2020-11-27 19:25:45 +08:00
|
31
geelaw 2020-11-27 19:28:53 +08:00 6
> 2 、私钥由用户保管,不会上传到服务器。
> 3 、公钥由一定的规则生成,跟用户的微信 ID 有关,每个人的公钥都不相同。 看到这两句话我觉得要么是我太弱了,要么是楼主太强了,至于是哪种,我不知道。 问题:如何做到安全地生成一对密钥,使用户的微信 ID 可以算出公钥? 更基本的问题:在这个场景里,用户比其他人多了什么能力,使用户可以算出私钥而其他人不能(根据微信 ID )算出这个用户的私钥? |
32
leoleoasd 2020-11-27 19:33:41 +08:00
刚想发, 看到楼上已经说了
|
33
des 2020-11-27 19:34:06 +08:00 via iPhone
bitwarden 请
|
34
Jirajine 2020-11-27 19:36:39 +08:00 via Android
我问个问题,用户的用户名 /密码字段有没有进行敏感词过滤?
如果有,如何保证隐私安全? 如果没有,哪天就被封了,如何保证可靠? |
35
lifetimeporn 2020-11-27 19:42:08 +08:00 via iPhone 1
安全行业入行第一句话就是没有绝对的安全,你倒好。
|
36
snw 2020-11-27 19:45:31 +08:00 via Android
微信账号指不定哪天就被封了,这概率可不低
|
37
tubowen 2020-11-27 19:49:25 +08:00 via Android
我觉得记在本子上比较靠谱😒
|
38
MeteorCat 2020-11-27 19:57:01 +08:00 via Android 1
主要不是大厂,没有信用背书,这要是腾讯出的,我出问题直接告腾讯,可能还能获赔呢
|
39
yeqizhang 2020-11-27 20:04:53 +08:00 via Android
|
40
vindurriel 2020-11-27 20:10:34 +08:00 via iPhone
非常棒 但为什么私钥不能修改? 万一设置私钥的时候被别人看到怎么办?
|
41
james2013 2020-11-27 20:22:31 +08:00 via Android
别吹了,代码没有开源,而且微信小程序代码随时可以改。
楼主你把钱放我这里,绝对安全,10 年再给你 |
42
xfgk OP @vindurriel 当你把所有保存的账户资料删除后,就可以改私钥。不能随时改是因为私钥涉及到加密的结果。
|
43
xfgk OP 我想请问一下,谁能在一周之内获取到我的数据并且解密出来?需要我的微信 openid 我可以提供出来,除了私钥不告诉你,其他资料随便要。
|
44
vindurriel 2020-11-27 20:36:30 +08:00 via iPhone
@xfgk 所有账户都删了 还是不能改私钥 feature or bug ?
|
45
xfgk OP @vindurriel 我测试的时候删完数据就可以改的。如果不行,你可以点击重新进入小程序或者删除小程序后再进来,可以重新设置私钥。。
|
46
xfgk OP @vindurriel 而且私钥更改功能是准备后期加上的,技术上没难点。看使用人数情况。
|
48
laoyur 2020-11-27 21:55:55 +08:00
所以我如果点背被微信封号了,连密码数据库都要丢?
|
49
deplives 2020-11-28 00:17:14 +08:00 via iPhone
怎么证明你的绝对安全
|
50
deplives 2020-11-28 00:26:27 +08:00 via iPhone 4
看了楼主的#43 楼 满满的一种 “学生时代学了点同龄人不会的皮毛知识就到处显摆的浮夸” 劝楼主沉下心来。你要记住全世界 70 多亿人 你能想到的所有点子早就有人实践过了 况且这玩意儿也没啥技术含量 你要说你实现了类似非对称加密算法这种级别的的这种成就再吹来的急
而且你的所谓的绝对安全是建立在非对称加密的基础上的 但是现在应该还不能证明这种算法是绝对的安全吧 |
51
Perry 2020-11-28 00:34:36 +08:00
1. “存在微信服务器的,且都是密文” 怎么证明都是密文?
2. 你更新一下小程序,记录用户的私钥,不就能看到所有用户的明文数据了? |
52
bellchu 2020-11-28 00:43:07 +08:00 via iPhone
说个笑话:绝对安全的微信小程序
|
53
felixcode 2020-11-28 01:18:09 +08:00 via Android
如果 LZ 这么自信,可以悬赏能破解的人嘛
|
54
muzuiget 2020-11-28 01:32:29 +08:00
这套说辞在这里不管用啊。
|
55
gcyrn 2020-11-28 02:00:42 +08:00 via Android
这样的轮子真的有必要吗,要访问还要先登录微信,加没有自动填充,真日常用的话不知道哪便利了
微信内置的话 或许给老一辈用方便点 |
56
nvkou 2020-11-28 02:29:03 +08:00 via Android
我以为 RSA 可被攻破是常识。
安全问题不是把风险转嫁出去就安全了。 大内网的今天,这套方案还不一定比自建密钥管理强 |
57
DoctorCat 2020-11-28 03:38:43 +08:00
人肉设计了个加密方式,例如 base64(password) 然后约定第 n 个字符串后加一个随机数 , 纯文本存在到网盘就行了,只要不说,鬼知道我是怎么加密的哦 (手动滑稽
|
58
proxychains 2020-11-28 03:59:26 +08:00 via Android
1password 挺好用的啊,数据存在第三方的微信小程序确实不放心
|
59
iConnect 2020-11-28 06:53:04 +08:00 via Android 1
楼主对“安全”是不是有什么误解?
|
60
xiangyuecn 2020-11-28 07:07:50 +08:00
其他的什么安全都不重要, [严重依赖微信] 最大的不安全
不考虑被微信封小程序?数据全丢?拿到加密数据,脱离微信就无法解密(公钥和微信强相关)? 泄露几个密码无所谓(反正又不是你一家在泄露),丢了密码那才是最大的问题。 |
61
xfgk OP 说不安全的同学可以试试看能不能拿到我的明文数据。除了私钥不告诉你以外,其他资料随便你要,我都给。你拿到明文数据了,再谈不安全。可以实名赌 1000 包辣条。
|
62
q9OxQg 2020-11-28 07:37:24 +08:00 via Android
楼主是好意,技术上我也相信楼主的东西合理安全(绝对安全肯定不可能),但是东西在微信和在祖国母亲的怀抱里,安全程度就大打折扣,微信封起号来也没有什么好商量的。有这么多可以用的服务,1password,lastpassword,开源的有 bitwarden,Keepassx,不放心的在 v2 这种地方大部分自己搭建也行。这小程序存在意义就很小了。
|
63
loading 2020-11-28 07:48:28 +08:00 via Android
没开源,你明文存会有人知道吗?
|
64
loading 2020-11-28 07:49:28 +08:00 via Android
其实会用密码管理的人不会用小程序管,而对于尝试的也并没有几个…
|
65
wanyulaowang 2020-11-28 08:29:39 +08:00 via Android
广告法警告,而且放在别人服务器上,我还不如用 Bitwarden 自建服务器呢
|
66
Rehtt 2020-11-28 08:32:34 +08:00 1
感觉就是学生产物
|
68
947211232 2020-11-28 09:27:58 +08:00
@xfgk 年轻人,只要有足够利益驱使,黑客黑进 gov 系统都是分分钟的事情,你一个寄托在第三方服务器的第二方服务器程序,何谈绝对安全???
|
69
cnkuner 2020-11-28 09:39:36 +08:00 via Android
请先把错别字改了,应该是“账”不是“帐”。
|
70
keshi 2020-11-28 09:44:15 +08:00
只有相对安全 没有绝对的安全 有关安全和加密的事情都没有绝对的
|
71
xfgk OP @947211232 不用黑进微信服务器,我直接把存在微信服务器上的密文数据放出来,没我的私钥看看有人能解密吗?让事实来说话不是更好。
|
72
ccc008 2020-11-28 10:02:13 +08:00
@xfgk 安全不完全不光是被获取密码,还包括数据安全。如果用户微信被封号、或者你的小程序因为不可抗力被关闭,数据有没有导出的机制?
|
73
lio444 2020-11-28 10:40:46 +08:00
小程序就开始不安全了
|
74
AoEiuV020 2020-11-28 10:52:26 +08:00
要怎么防止你哪天心情不好改改代码把我私钥上传了,
|
75
vector2axis 2020-11-28 11:02:09 +08:00
你这个没有经过大规模用户的检验
|
76
suyuyu 2020-11-28 11:05:18 +08:00
上传到服务器还没有我手写小本本上安全
|
77
hahaandyou001 2020-11-28 11:10:20 +08:00
1Password 都不敢这么肯定,微信就算了,忽悠小白还可以,这可是 v 站
|
78
InternetExplorer 2020-11-28 11:32:59 +08:00 1
你们这样跟楼主说没用的,大家一起把这小程序投诉下架了,楼主就体会到数据安全不光是不被窃取,还包括不丢失了
|
79
JeffGe 2020-11-28 11:34:32 +08:00 via Android
全 v 站用户一周破解不了你的服务就能证明“绝对”安全了?你去民科圈子交流吧,那边适合你
|
80
rap16 2020-11-28 11:47:10 +08:00
比 1password 还牛逼???
|
82
lvybupt 2020-11-28 11:50:16 +08:00 4
密码学里,敢于把算法公开,允许敌手尝试尝试加密( CPA )和用户持有自己的私钥去攻击别人的私钥( CCA )是两种最基本的要求。 而且并不是达到了 CCA,就能号称安全。 只敢放出数据和公钥,流程和生成规则一概不敢公布的方案,默认不安全。
ID 生成公钥,再产生私钥的方案一般叫做 IBE (基于身份的加密),该类型有一个非常严重的天生缺陷叫“密钥托管问题”,也就是用户得无条件的相信给他产生私钥的“你”。 解决密钥托管,往往采用双服务器或者其他一些方式,楼主这个不自建服务器的小程序甚至都达不到带有密钥托管问题的安全的 IBE 方案应有的安全性。 @geelaw 你这个头像和 ID 我在知乎上见到过。 |
83
lvybupt 2020-11-28 12:03:23 +08:00 2
楼主如果没用 IBE,只是普通的公钥加密( RSA,或 ECC ),用 ID 生成公钥替换了原有算法的随机生成,再去算私钥的话,那么公钥生成阶段,方案就已经弱化的穷举都能硬破了。进一步的,密码协议至少也还有前向安全性或者后向安全性要被保证。
|
84
jwenjian 2020-11-28 13:01:45 +08:00
绝对安全这个说法确实不太合适,如果你想表达的是:私钥只有用户手里有,用户把自己的密码明文用私钥加密,把密文保存起来,这样只要用户的私钥不泄漏,就算有人能黑进微信的服务器把你的应用的云数据库里面的密文拿到,也解不开用户原始的密码明文,而且要在你使用的非对称加密算法不被攻破的前提下,用户的密码明文数据是安全的,那确实没啥大问题。
|
85
ddefewfewf 2020-11-28 14:13:02 +08:00
微信这个软件就不安全 里面的东西何谈安全
|
86
XiLingHost 2020-11-28 14:39:09 +08:00
腾讯系的产品本身就不安全啊,你还不如搞个 bitwarden 呢,至少人家开源可以审计
|
87
Varobjs 2020-11-28 15:00:43 +08:00 1
密码这个问题在 v2 已经是月经贴了。
|
88
chinvo 2020-11-28 15:11:05 +08:00
|
89
chinvo 2020-11-28 15:12:58 +08:00
更何况不管是上面猜测的哪种方法, 作为对程序有绝对控制权的楼主, 都有能力推导出任意用户的公私钥, 甚至不需要通过客户端代码埋雷的方式偷偷上传用户私钥.
|
90
xfgk OP 我只是想方便且安全的保存用户账户密码,当然不要扣字眼说没有绝对安全,这里这么多真的和假的大神,如果不能获取到明文数据,那不就够安全了嘛。说微信封号的、小程序下架的都是钻牛角尖,真那样了又能怎样?丢了密文也无所谓的吧?还有私钥的问题,这个没上传,也不会上传,且无法推导出来。最后,你的密码不一定要写全,比如 123456 的密码,你可以写成 1****6 不是?软件的初衷是方便安全的记录帐密数据,这么做还不够安全?
|
91
v2lhr 2020-11-28 15:50:13 +08:00
借楼推荐下这个开源的账号密码小程序: https://github.com/aab0/zhanghaozhushou
|
92
JCZ2MkKb5S8ZX9pq 2020-11-28 15:50:22 +08:00
只要微信号不注销…… 这个前置条件有点悬
而且小程序没办法跟系统交互,嵌入浏览器插件估计都要兜圈子,微信登陆不知道通不通用,使用的便利程度也是问题吧。 |
93
xfgk OP @jwenjian 明白人。。。想拿明文关卡重重,估计没人能做到。而且明文可以部分替换成用户才知道含义的星号,小程序就是图方便和安全。就算我把一条记录的密文放在这里,也没人能解开,这还不够安全吗?
|
94
xfgk OP @JCZ2MkKb5S8ZX9pq 你的微信会很大概率被腾讯关掉无法登陆吗?真那样你损失的是密文而已,有啥大不了的
|
95
morizawatt 2020-11-28 15:54:40 +08:00
没有背书 谁敢随便放。
|
96
cmdOptionKana 2020-11-28 15:59:58 +08:00
@xfgk 如果全世界只有你做的这个密码管理工具,那么一些不太重要的密码,用你这个,安全性是够了。
但你想想,用户还可以选择 1pass, keepass, lastpass, bitwarden ... 等等,对比而言,站在一个不认识你的普通用户的角度,你这个是不是安全性最低? |
97
Cielsky 2020-11-28 16:09:58 +08:00
@InternetExplorer 釜底抽薪👍
|
98
webshe11 2020-11-28 16:37:59 +08:00
这贴子都在首页两天了,有没有闲得蛋疼的 V 友逆一下 wxapkg,随便搞搞教楼主做人
看楼主这语气像刚学密码学的,算法估计不会太复杂 (我暂时没空搞,快毕不了业了,来这纯属摸鱼) |
100
webshe11 2020-11-28 16:55:32 +08:00
另外上午打开这个小程序随便玩了两下,仅仅从程序功能猜测:
可能楼主说的“私钥”“公钥”“非对称加密”和我们理解的不太一样,这个“私钥”是用户需要记住并输入的,搞不好就是个对称加密,用“私钥” AES 加密一波,服务端再用微信 ID 对密文再加密一波 根本用不着 IBE RSA 另外楼主别 at 我,我是真毕不了业了,另外年龄大了已经不会被激将、激怒了 |