自己的密码是存在自建的 bitwarden 里的,也是每个站点随机生成密码,多端同步倒是方便,但有时候需要在陌生环境输入密码就变成一个很难受的情况,要么手机打开然后输入一大串随机的密码,要么就要登录网页版复制粘贴。
有精神洁癖,现在供应链攻击这么成熟的前提下,生怕自己全部的密码被一下拿走然后被别人为所欲为,所以想做个硬件来保存密码,预期的功能如下:
1 、支持多端离线在线同步
2 、支持移动 APP 选择需要的密码,硬件模拟键盘自动输入
3 、支持 TOTP
4 、支持指纹验证
5 、支持 passkey 凭据登录
大小就类似 U 盘,可以挂在钥匙链上,现在看下来售价可能会在 200 块左右。
我自己也是做网络安全方向的,自然是会有一套完整的安全模型和安全白皮书,安全性倒是不必担心。可以说就算丢失硬件,被人拆去检测,也无法恢复其中内容。
不知道各位老哥有没有什么兴趣,市面上大多数产品都是 PASSKEY 那种模式,好像都没有密码保存的功能,所以就想来看看这事能不能成。
 | 1 0x663 2 days ago 现有市场有类似的产品吗 |
 | 3 sun522198558 2 days ago 感觉一年也不会在几次陌生环境输入密码吧,为了这个小概率事件带一个硬件不麻烦吗? |
 | 4 qwx OP @sun522198558 那可能我的工作环境不太一样吧,本质上其实也在担心电脑中毒然后被一锅端的风险,lastpass 和 github 都发生过类似的问题。 |
 | 7 east91555 1 day ago 功能 2 咋像 badusb |
 | 9 Fish1024 1 day ago 苹果的密码不行吗 |
 | 10 sleek7671 1 day ago 支持移动 APP 选择需要的密码,硬件模拟键盘自动输入这个应该挺难的吧? |
 | 11 myderr 1 day ago 我都是直接手敲,因为在陌生环境输入频率不高。如果在陌生环境高频使用的话,是不是得考虑这个有没有毕竟设置这么复杂。 |
| 12 qwx OP |
 | 13 Himmel 1 day ago 更像是一个情绪产品,毕竟手机和笔记本电脑携带起来都很方便,很少有陌生环境的需求 |
 | 14 wctml 1 day ago 不会,忘记密码我就找回密码。 |
 | 15 ma46 1 day ago 硬件密钥弄起来挺麻烦的,我的 yubikey 吃灰好久了 |
 | 17 run2 1 day ago 亚马逊海外购 yubikey 海关直接不让过 呵呵了 |
 | 18 HAWCat 1 day ago 不会, 陌生环境输入密码的场景极少 |
 | 19 elias94 1 day ago 感觉自建的 bitwarden 的足够用了  |
 | 21 mitong3269 1 day ago @qwx 我就买的这个 1 2 3 代都有 |
| 22 qwx OP |
 | 23 hamsterbase 1 day ago  2 淘宝搜 “仿真键鼠接收器” , 大概 70 1. 接收器插电脑 2. 在密码管理器复制密码 3. 打开仿真键鼠接收器的 app 里粘贴密码(蓝牙连接,不联网 4. 仿真键鼠接收器模拟键盘输入 我之前买掌机,要输入密码都是通过这个手段来的。 |
| 24 hamsterbase 1 day ago 你这个硬件坏了很麻烦的。 我不会用。 |
 | 25 nc 1 day ago yubikey 这种硬件密钥一般是公司给你发的,登录内部系统强制需要,为了防钓鱼。个人的话还是 1password 自动填充 2fa 方便。 |
 | 26 rick13 1 day ago 不会,我现在用苹果自带和 1p ,不想用实体 |
| 27 qwx OP |
 | 28 tool2dx 1 day ago via Android 我一直想找一个能导出 passkey 私钥的设备,防止未来物理损坏。 如果不能导出,我是不会买的。 |
 | 30 pcject 1 day ago 宁愿是为手表开发这样一个 APP |
 | 31 SenLief 1 day ago 自己做一个 yubikey 不就好了,有成熟的方案 30 多块钱 diy 的 |
 | 32 HTravel 1 day ago 自己都做这一行的,为什么不用苹果全家桶?这种跟着一线生态走最方便,因为各大 app 会主动适配,你天然就是世界主角,所有人围着你转,自然而然就成了 winner 。iPhone 或 MacBook 丢了,再买一个所有 passkey 就恢复了,你的方案呢?丢了一个就是真丢了吧。如果你丢了不是真丢,你的跨设备同步时的加密机制,敢说安全级别和苹果在一个水平? |
 | 33 47jm9ozp 1 day ago yubikey 了解一下?国产的也有 canokey…… |
| 34 qwx OP |
 | 35 wwang7 1 day ago @qwx 我之前考虑过想买这个 onlykey ( https://onlykey.io/)。最多可以存 24 个密码。 |
| 36 HTravel 1 day ago @qwx 如果你做的是网络安全方面的软硬件研发,借助工作之便给自己顺手搞一套的确花不了多少时间和精力,那稍微值得玩一下。但出门多带一套硬件不难受吗?你能把它集成到安卓手机上才算真搞成功了。我就通过安卓 termux 环境跑我自己写的 NAS 系统。 |
 | 37 seansong 1 day ago 我更担心这个单点故障 |
| 38 qwx OP |
 | 39 chaoooooos 1 day ago @qwx mexkey 不是集成单点登录的么?当年还魔改过源码,hh |
| 40 47jm9ozp 1 day ago |
| 41 qwx OP |
 | 42 jackOff 1 day ago 你说的这玩意好像国内国外都有人做产品,但是用户比较小众,可能属于极端隐私的极客才会买的产品 |
 | 43 Leeeeex PRO 硬件这种东西我个人觉得是比软件更容易坏的 至少在我用的所有工具中,硬件坏了/丢了等问题,绝对比软件故障的概率要大得多。 而且我也不相信我自己那三脚猫的加密方案,能比得上大厂面向全球用户的企业级方案。 |
 | 44 qwertyiuop 1 day ago 或许你需要一个 iOS? |
 | 45 tangxiaoqiang123 1 day ago 支持,我也有类似需求,目前密码保存在 keepass 里,想能直接读取 kbdx 文件,看了 mexkey ,感觉比较符合,但是想更纯粹一点,插上即用,可以不要电池和屏幕。我在 kickstarter 上也看到一款 MiixKey ,感觉和 mexkey 一模一样 |
| 46 qwx OP |
 | 47 liuidetmks 1 day ago @run2 海关不让了? 先前 cloudflare 羊毛薅了很多 yubkey 没问题啊 |
 | 48 HankAviator 1 day ago 现在哪还优先考虑破 2FA 了,直接盗 session 舒舒服服的,100FA 都白搭 |
 | 49 zmazon 1 day ago 太麻烦了,可能我用不到这么高级的场景,我就买了个 U 盘就可以了 |
| 50 qwx OP @tangxiaoqiang123 我刚才给作者发了个信息,确认了就是一个团队,有点羡慕了。 |
 | 51 8e47e42 1 day ago 您是否在找:Yubikey |
 | 52 ShadowPower 1 day ago 太麻烦了,我一般都用手机充当这类设备,只是自动输入换成手动输入 |
| 53 tangxiaoqiang123 1 day ago @qwx 努把力,你也整一个 |
 | 54 409164 1 day ago via iPhone apple 密码和 1p 双持,最近还多加了 bitwarden ,这样三持应该无论如何都丢不掉密码了吧 |
| 55 qwx OP @tangxiaoqiang123 老哥加个联系方式?其实想做小范围测试了 |
| 56 tangxiaoqiang123 23h 3m ago @qwx 行,VGVzdFRvbTAxQHByb3Rvbi5tZQ |
 | 57 charles0 18h 22m ago 然而标准的 Passkey 加一个密码管理器就够了啊 |
Select Language