Zrobiłem taką aplikacyjkę webową do generowania haseł oraz do anonimowych wiadomości. Główna idea to zastąpienie trudnych do zapamiętania, podatnych na literówki haseł i URLi artykułami z wikipedii. Demo jest tutaj:

http://anolog.net

Generator haseł zamienia łatwe do zapamiętania artykuły z wikipedii na silne hasła. Wiadomo, że im silniejsze hasło tym trudniejsze do zapamiętania i generalnie hasła użytkowników to najsłabsze ogniwo w zabezpieczeniach IT.

Mój pomysł na produkt to taki generator haseł dla małych i średnich przedsiębiorstw i wymóg dla pracowników by posługiwali się tylko hasłami wygenerowanymi w tym generatorze.

Wersja dla firm różniła by się od opublikowanego POC w następujący sposób:

- wszystkie operacje kryptograficzne wykonywane by były po stronie serwera, a nie tak jak w demie po stronie przeglądarki;

- aministrator ustawiałby algorytmy haszujące wg własnego uznania ( teraz jest to mix SHA256 & SHA3 ), sól do haszowania, długość hasła i zestaw znaków oraz password stretching algorithm;

- dla użytkowników będzie dostępny licznik umożliwiający inkrementecję hasła, wygodny w przypadk konieczności zmiany hasła co jest powszechne w firmach;

- opcjonalnie statystyki dostępne dla administratora ;

- opcjonalnie weryfikacja czy dane hasło pochodzi z generatora ;

Zasady korzystanie z tego generatora:

- użytkownicy mogą używać dowolnych kombinacji artykułów z wikipedii ( wikipedia.pl dla klientów polskich ), liczba wybranych arytkułów na jedno hasło ( 2-3 to sensowna liczba );

- użytkownicy mogą zapisywać sobie komponenty użyte do generowania hasła;

- hasła nie są powiązane z żadnymi loginami i kontami, użytkownik może wygenerować dowolną liczbę haseł i użyć tylko jednego do sobie znanego serwisu;

Część dotycząca wymiany anonimowych wiadomości umożliwia zostawienie wiadomości pod dowolnym artykułem z wikipedii ( bądź kombinacją artykułów ).Waidomości mają ograniczony czas życia oraz opcjonalnie ograniczoną ilość odczytów. Również lokalizacja nadawcy może być opcjonalnie udostępniona odbiorcy. Główny przypadek użycia to rozmowa przez telefon z nieznajomą ( do tej pory ) osobą, zktórą chcielibyśmy nawiązać kontakt, a nie mamy możliwości zapisania. Dzięki tej aplikacji możemy wymienić np emaile, inne numery telefonów itp.
Będę wdzięczny za opinie.

--
Tomasz Ćwietkowski

Opinie dotyczące czego, zasady działania, przydatności ?

Firmy: serwer w lokalizacji klienta czy na twoim serwerze ? Sporo osób może mieć opory do zewnętrznego generatora.

Wiadomości: dodatkowe zabezpieczenie hasłem (extra opcja), są popularne artykuły i jest szansa na pojawienie się pod nimi wiadomości nie naszych (kot, pies etc)

Witam!
Dzięki za komentarz. generator haseł dla MSP /SMB oczywiście po stronie klienta to nie podlega dyskusji. Dostępny z intranetu , ewentualnie wystawiony do użytku z zewnątrz dla pracowników firmy. Generator tak jak napisałem jest scustomizowany dla danej firmy , customizuje admin firmy.
Customizacja polega na:
1. własnej ( dla danej firmy ), tajnej soli użytej do hashowania wszytskich haseł;
2. własnej kombinacji algorytmów haszujących dla danej firmy ( dostępne SHA2, SHA3, + mixed)
3. własny algorytm do password strethcingu.
4. własn żądana długość hasła;
5. własny zestaw znaków - małe, duże,cyfry, znaki przestankowe, możliwe jest nawet usunięcie pewnych znaków ze standardowych zestawów by hasła były charakterystyczne dla danej firmy
Czyli aplikacja zdeployowana u każdego klienta. Po użyciu tej samej kombinacji artykułów z wikipedii daje różne hasłe jako rezultat dla różnych instancji zdeployowanych u klientów.
Hasłowanie wiadmości jest rozważane jako dodatkowa opcja.

Rozumiem, że pomysł w fazie oceny koncepcji. Moje uwagi:

1) Czy robiłeś rozpoznanie rynku odnośnie innych aplikacji o podobnym zastosowaniu?

a) Istnieją serwisy pastebin.com i tinyurl.com, które wydaje mi się, adresują problem z dzieleniem czegoś w sieci, przekazywaniem informacji o adresie w krótszej formie. URLe są na tyle krótkie, że można je zawrzeć np. w SMS.

b) Dla haseł są rozwiązania np. LastPass, KeePass, ... , które na zasadzie sejfu mogą przechowywać listę haseł / loginów itd., czy generować złożone hasła.

2) Obecnie wystarczy mi, że pamiętam jedno złożone hasło do "sejfu z tajnymi hasłami" i tam są złożone hasła spełniające polityki bezpieczeństwa serwisów z których korzystam.

Co unikalnego oferuje Twoja aplikacja, co przekonałoby użytkownika, że warto rezygnować z KeePass czy LastPass ?

3) Od strony technicznej... Zawartość Wiki zmienia się w czasie. Hasło w wikipedii jest, albo nie ma. Treść artykułu zmienia się. Czy to wpływa na funkcjonalność? Obecnie generowane hasło jest takie samo dla wprowadzonych słów kluczowych, czy nie jest to dobry kierunek, by wygenerować hasła dla wszystkich haseł z wiki i mieć dobrą podstawę do ataku słownikowego?

Witam!
Dziękuję za bardzo interesujące pytania:
AD 1) Czy robiłeś rozpoznanie rynku odnośnie innych aplikacji o podobnym zastosowaniu?
TAK
AD a) Istnieją serwisy pastebin.com i tinyurl.com, które wydaje mi się, adresują problem z dzieleniem czegoś w sieci, przekazywaniem informacji o adresie w krótszej formie. URLe są na tyle krótkie, że można je zawrzeć np. w SMS.
róznica jest zasadnicza mój serwis NIE bazuje na żadnym unikalnym identyfikatorze lub urlu i jest TYPOPROOF czyli literówka w urlu bądź identyfikatorze nie powoduje problemu. Poza tym ludzie pamiętają pojęcia, z którymi są emocjonalnie związani np nazwa zespołu, ulubiony kompzytor itp. te pojęcia są przekazywalne w łatwy sposób w czasie rozmowy głosowej, ikony z wikipedii + treść artykułu ujednoznaczniają. Jest to unikalne i innowacyjne podejście, nie ma podobnych serwisów choć oczywiście anolog.net rozwiązuje podobny problem jak tinyurl lub pastebin.

AD b)Dla haseł są rozwiązania np. LastPass, KeePass, ... , które na zasadzie sejfu mogą przechowywać listę haseł / loginów itd., czy generować złożone hasła.

anolog.net jest komplementarne choć nie wykluczam że w wersji mobilnej, którą robię będzie storowanie haseł. Moje podejście jest takie żeby stworzyć hasło wysokiej jakości bez wysilania pamięci , bazując na tym z czym user jest emocjonalnie związany. Używając anolog.net składniki hasła można zapisać na kartce nie ujawniając samego hasła ( jest w tej aplikacji notacja mnemotechniczna has ła ). Jest to rozwiązanie dla masowego użytkownika w sumie niewiele osób korzysta z KeyPass itp. Czyli moja aplikacja daje możliwość zapisu hasła na kartce w formie zrozumiałej dla usera składników hasła. Poza tym można mieć parę haseł nic nie zapisując i będę one silne. Co do aplikacji storujących - atak zawsze będzie się koncentrował na nich i np plikach z zapisanymi hasłami. Keypass oferuje np możliwośc trasnferu danych między aplikacjami w swoim formacie.

AD 3 ) URLe artykułów się nie zmieniają, artykuły są dodawane, tylko w bardzo rzadkich przypadkach usuwane. czyli to nie jest problem.Tre ść artykułów nie ma znaczenia poza identyfikacją pojęcia . Co do ataku słownikowego w tej formie jest on możliwy. Dlatego chciałbym dodać :
1. salt do haszowania, ( musi to być coś unikalnego i lawtego do zapamietania dla usera , najprostszy to email, data usrodzenia - w wersji enterprise salt ustawia admin)
2. licznik do inkrementacji haseł ( te same sklądniki a hasło kompletnie inne - rzecz przydatna w korpo)
3. algrytm do password stretching ( scrypt i mam jeszcze swój autorski )
Pozdrawiam,
TC