Генератор паролей на Qt

Не совсем понятна «фишка».
Пароли однозначно генерируются на базе «мастер-пароля, протокола, логина, сервера, порта, выбранных символов и длины»?
Или таки присутствует элемент случайности?
Если рандом имеет место быть, то вообще непонятно. А в первом случае бессмысленно, поскольку из 127.0.0.1 порт 668 юзер «hren»
элементарно и без софта получается легкозапоминаемый и неподбираемый пароль: 127001668hren
Я в своё время пошёл другим путём: я пытался генерировать пароли так, чтобы они выглядели и звучали как слова и, таким образом, легко запоминались. Вот: https://play.google.com/store/apps/details?id=org.qtproject.example.RPGAndroi...

нет лучшего генератора паролей, чем моя голова.

меня всё устраивает, давай ебилд. :3

Интересно. Репозитория пока нету?

http://xkcd.ru/936/

хотелось бы знать, что должна уметь такая программа

Примерная оценка стойкости сгенерированных паролей (как в KPassGen); корректный экспорт-импорт с браузерами и распространёнными менеджерами паролей; cli, шоб из скриптов можно было дёргать.
P. S. Нужно! Особенно если удастся совместить максимум полезности с минимальной монструозностью.

Сторонний рандом не используется. Всю энтропию несёт мастер-пароль.

Фишка в том, чтобы запомнить только мастер-пароль, и имея известный алгоритм, генерить пароли в зависимости от URL.

Не, мне код пока стыдно показывать =).

Я помню этот комикс =). Ничто тебе не мешает держать в голове коня, батарею и скобу, и на их основе генерировать *разные* пароли к разным ресурсам.

Всё-таки, как мне кажется, в таком случае уместней пароль вида <блок1><блок2><блок3>... Подбираемость никакая. Запоминаемость на высоте.

Ткни носом в желаемый алгоритм оценки сложности. Не в код, а в описание.

Так а почему не использовать для мастер-пароля именно такой пароль? На сгенерированные пароли ты даже смотреть не будешь.

Покажи код.

Так а почему не использовать для мастер-пароля именно такой пароль?

Ну хотя бы потому, что отпадает необходимость в его дальнейшей обработке. Такой «мастер-пароль» хорош уже сам по себе.
Твои же пароли запомнить невозможно.
Следовательно юзер должен либо их заново генерировать каждый раз перед использованием, либо твоей программе надо будет их подставлять в нужное место, что может приевсти к проблемам с секьюрностью.
Как-то так.

заново генерировать каждый раз перед использованием

Это открыть програму и вбить мастер-пароль. Список URL'ов будет ведь сохраняться.

Дай хоть причешу его!

Ну что я тебе могу предложить?
Попробуй. Попользуйся сам с месячишко. И, если не откажешься от самой идеи, то через месяц получишь вполне юзабельный проект.

Так для себя ж и пилю.

Будут идеи — генерируй сюда =).

«Не нужно» можно тоже писать.

pwgen пока хватало.

Интересная штука, но я бы туда еще и выхлоп /dev/random пихнул. И еще echo $RANDOM. Но идея интересная. Кастани, если допишешь, а? (Кстати, спасибо за идею, сам такое тоже напишу)

Так ведь прикол в том, чтобы зная только мастер-пароль, можно было восстановить все остальные пароли. А рандом вносит в этот процесс непредсказуемость.

ненужно, ибо
1) http://imgs.xkcd.com/comics/password_strength.png
2) certificate based authentication лучше продвигай :)

Ты «pwgen 20 100» наизусть учишь :)?

Сделай генератор паролей из случайных слов, при том на разных языках (естественно латиница only).
Потому что я поймал себя на мысли: придумывая несколько слов для пароля можно легко назвать цепочку ассоциаций и как следствие - хреновая стойкость.

Так при генерации и нужна непредсказуемость :)

синхронизацию между устройствами

Dropbox API.
Там можно создавать отдельную папку, к которой только приложение будет иметь доступ (ну и естественно офф. клиент Dropbox).

Dropbox

Привязка к стороннему собственническому сервису, который тебя обслуживает ровно до тех пор, пока так хочет хозяин.

Пароли генерируются на основе мастер-пароля, протокола, логина, сервера, порта, выбранных символов и длины.

Тоесть если я знаю, что коллега-админ использует эту прогу, даже базу данных с паролями с его компа коммуниздить нинужно? Достаточно установить её себе и можно приступать к бруту?

Думаю будет полезнее если ты сделаешь либу для генерации паролей.

Эээ.., мне обычно pwgen 8 1 хватает :(

Забрутай мастер-пароль на 25 символов.

Вот на проприетарщину я точно это дело завязывать не буду.

Чтобы где её использовать?

Непредсказуем мастер-пароль, остальное из него вытекает.

Это не то, что я хочу получить.

Причём тут это?
Dropbox уже просто так загнуться никак не сможет.
А дополнительная функция с софтине будет 90% юзерам на пользу. Аккаунт в Dropbox я думаю есть даже у тебя.

А про завязывать никто и не говорил.
Просто опциональный сервис для синхронизации.

Интересная идея, была бы интеграция с браузерами, с gnome-keyring и т.п.

Мне видится пока такая большая проблема. Пусть мне нужно поменять пароль на одном из десятков сервисов. Не важно по какой причине. Но коль скоро пароль однозначно привязан к URL и мастер-паролю, придется менять мастер-пароль и пароли ко всем-всем-всем сервисам? :-/

Я себе когда-то для этих же целей сделал программу на python и gtk+

http://sourceforge.net/projects/mkpass/

Идея та же - генерация пароля из мастерпароля и произвольной строки.

Я в этом случае постфикс к урлу дописываю.

Скользкий момент, согласен, но я думаю для решения проблемы добавить поле версии пароля.

Кстати, такая возможность предусмотрена (столбик «Resource»).

8 символов не мало?

то есть ты изобрел?

base64(sha1(website_url ++ masterPassword))

:D

Всё придумали до меня.

http://habrahabr.ru/post/233411/

Причём тут это?

Притом, что категорически не рекомендуется рекомендовать всем юзерам софтины ТС юзать именно дропбокс, потому что:

Dropbox уже просто так загнуться никак не сможет.

...просто слова, не подтвержденные ничем. А если ты почитаешь договор дропбокса, то увидишь, что, навпротив, они оставляют за собой право дропнуть сервис когда пожелают и заблокировать любой акк. Вот так, никаких гарантий, только вера на слово, что оно будет ещё работать следующие 5-10 лет.

Аккаунт в Dropbox я думаю есть даже у тебя.

Нет. У меня есть owncloud на своем домашнем сервере.

А у тебя есть пароли на 25 символов? Вводить не зае надоело?

А если ты почитаешь договор дропбокса, то увидишь, что, навпротив, они оставляют за собой право дропнуть сервис когда пожелают и заблокировать любой акк.

Пока ты его используешь для синхронизации, а не для хранения, тебе может быть пофиг на то, что он загнётся, не?

А тебя это тревожит :)?

Нет, проблемы твои, мне своих хватает. Это только аргумент в пользу нинужности сабжа.

Сразу бы так и написал, я бы и не спрашивал ничего.