Лого vc.ru

You Shall Pass — генератор паролей без необходимости их запоминать

You Shall Pass — генератор паролей без необходимости их запоминать

Сегодня в рубрике «Стартапы» — сервис You Shall Pass, генерирующий и напоминающий пароли для различных сайтов. Передаём микрофон.

Поделиться

Здравствуйте, ЦП! Меня зовут Кочергин Владимир, мне 22 года, интересуюсь стартапами сколько себя помню.

Хочу рассказать про один из своих side-проектов — генератор/хранитель паролей youshellpass.ru. Это не стартап (проект не нацелен на какую-либо коммерцию), но на фоне скандала со взломом LastPass считаю необходимым рассказать общественности о достойной альтернативе.

Итак, You Shell Pass — это аналог любого другого хранителя паролей с одним существенным различием — он нигде ничего не хранит. Он генерирует пароль по простой формуле password = hash(domain_name+master_password).

То есть, используя один мастер-пароль, можно генерировать разные пароли для разных сайтов, и все они будут достаточно сложными. И их не нужно ни шифровать, ни хранить, ни синхронизировать — пароли будут генерироваться на лету. Вот так просто и эффективно.

В команде кроме меня Андрей Филиппов, написавший приложение под Android и Олег Мельник, с приложением под iOS (скоро будет в App Store).
Спасибо за внимание!


Возвращаем слово читателям.

Хотите получить слово и рассказать о своем стартапе? Добро пожаловать за трибуну.

Статьи по теме
Анонс рубрики: «Стартапы»17 марта 2014, 12:15
Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Что значит без необходимости запоминать? Приложение сгенерирует мне какую-то абракадабру, и дальше есть только 2 пути - либо приложение само запишет пароль, и будет его подставлять на сайты, либо мне нужно его запомнить. И в чем тогда профит? Генераторов паролей которые не запоминают - 500 тыщ мильёнов.

зная на какой сайт вы хотите зайти + ваш мастер пароль + алгоритм генерации пароля можно заходить на любые сайты, не используя облако для синхронизации паролей, как я понял. В этом и профит - в том что не надо синхронить базу паролей между устройствами.

В том и профит, что генерируется не рандомная абракадабра. Если вы снова введёте тот же сайт с той же мастер-фразой - вы получите тот же пароль. То есть запомнить вам нужно только мастер-фразу.

Добрый день. У вас "Яндекс.Метрика" на сайте подключена. Это означает, что у вас есть возможность через веб визор просмотреть все когда-либо сгенерированные вашими пользователями пароли.

Вебвизор у меня в метрике не подключен и он вроде не может трекать нажатия клавиш.
Но вообще, можно запускать скрипт где-нибудь в пустой вкладке или вообще в другом браузере - тогда точно никто не сможет ничего подсмотреть.

>> и он вроде не может трекать нажатия клавиш.

Имейте ввиду — может. Удачи с проектом!

Узнав тем или иным способом мастер пароль пользователя автоматически получаешь доступы к аккаунтам этого пользователя на любых сервисах. Это все равно что придумывать один пароль для всего.

Можно использовать разные мастер-пароли. Для неважных сайтов - qwerty, а для важных что-нибудь посложнее.

0

Тогда зачем этот сервис если мне все равно надо будет запоминать кучу паролей для разных сайтов?

Вместо кучи паролей можно запомнить только 2-3.

0

Насколько я понимаю, это проблема всех менеджеров паролей

0

Давно себе такую штуку закодил. Есть как приложение для Android, так и консольная программа на python.

1Password уже обладает этим функционалом и даже более.
Велосипед, в общем

1password просто гененирует пароли же. Он их хранит в базе так же как и ласт пасс.
Но да, он хорош, я сам им пользуюсь. Можно сказать что эта штука для тех у кого нет денег на 1password, но экономить на безопасности как то не очень хочется.

Для тех, у кого нет денег на 1pass, существует прекрасный опенсорс менеджер паролей KeePass. Единственное что интерфейс у него довольно старый, но пользоваться это не мешает.

А если у меня несколько логинов на одном и том же сайте? Например, gmail, 2-3 логина, ваш генератор будет генерировать один и тот же пароль для всех логинов?

1

С точки зрения безопасности получается практически то же самое, что использовать один пароль на всех ресурсах. Если с одного из ресурсов пароль сольют, то доступ ко всем остальным открыт.

В данном случае, если один и паролей будет слит, то достаточно сбрутить хэш по маске, а затем элементарно восстановить пароли от остальных сервисов. Какой алгоритм хэширования используете?

Также +1 к комментарию выше.

0

Какое интересное переизобретение SuperGenPass, в самом деле.

А можно узнать, какой именно алгоритм хэширования и сколько итераций?

0

А можно узнать, какой именно алгоритм хэширования и сколько итераций?

0

Название - огонь

0

так you shell или you shall pass?

0

Я правильно понимаю, что имея парочку хэшей с 2 сайтов и зная алгоритм можно в обратную вычислить мой мастер пароль ?

0

Если жаба душит купить 1password, то Enpass

0

Абсолютно не жизнеспособно
1. НЕЛЬЗЯ связывать все пароли от всех сайтов с мастер паролем одним общим рецептом генерации, да ещё и включающим в себя общий мастер пароль. Это самоубийство с точки зрения безопасности.
2. Пароли в ЛЮБОМ случае нужно хранить, иначе если мастер пароль забыт или утерян ещё по какой-то причине, то все это выльется в дичайший геморрой.
3. Затрудняется использование общих аккаунтов (в компании, в проекте...) или множества аккаунтов от одного сайта
4. Проблематично начать использовать решение, потому что везде и на всех сайтах придется сменить пароли чтобы перейти к этому решению.

0

Если честно, не понимаю, зачем оно нужно...

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Артемий Трофимов

Всем спасибо за feedback, очень порадовали предположения по монетизации - очень узко, ребята)))
Все замечания учту. Спасибо vc.ru за публикацию статьи.

Caradar — сервис для подбора автомобиля на основе предпочтений, образа жизни и ежемесячных расходов
0
Иван Чуев

Где 150 кусков грина?

Олег Тиньков потребовал от сотрудников есть один раз за рабочий день и «не красть время» акционеров перерывами на кофе
0
Павел Комлев

Увы , но русский "работяга" при таком раскладе свесит "ж.пу" и делать ничего не будет . Это уже менталитет столетиями сидит в сознании . Единицы только будут развиваться и как мы понимаем, это уже как правило люди с мышлением не обычного работяги , который хочет развиваться в одной сфере и работать на кого-то, а это предприниматель. Который понимает , что надо бороться за место под солнцем. Поэтому пока не понимаю, что они хотят посмотреть . Скорее всего кле какие другие мотивы у них. Раз даже инвестируют на государственном уровне. В России такого не будет никогда. Русский исторически терпила и ему нужен смысл борьбы за жизнь. Да да, банально (( но условия для жизни слабые и жёсткие и народ работает , работает ... выжить то хочется . Как только достаток появится .... ну все, можно отдохнуть и тут прокрастинация во всю, потому что человеку с таким мышлением нужно мало для жизни . Именно сейчас в кризис мы и видим как народ ужимает потребности , чтобы не терять в комфорте к которому привык , вместо того , чтобы изучать новое и получать новые знания ХОТЯ БЫ в своей сфере.

«Мир разделится на технологическую элиту и на тех, кто не приносит пользы экономике»: проблемы безусловного дохода
0
Алексей Кулешов

А нужно вводить в заблуждение? Медом здесь не намазано, а актуальные точки входа я дал. К сожалению, большинство советов совершенно не учитывает тот факт, что коммерческая разработка от любительской отличается как небо от земли. И нужно смотреть реальный рынок труда. Ну нет на рынке вакансий начального уровня для java, python и пр. Ну что с этим поделать? Хотите войти в профессию - идите туда, где реально войти, а дальше нужно расти и развиваться.

С чего начать изучение программирования ради заработка
0
Bavanmub

Нет денег на оплату работы - не нанимай сотрудников, в чем тут вопрос?
Если очень хочется, чтобы кто-то сделал для тебя работу, разделив при этом соответствующие риски - ищи кофаундера и двигай проект с ним, а не пудри людям мозги.

«Относитесь к вашей доли в компании, как к лотерейному билету»
0
Показать еще