背景
两个基本的安全原理是,一个账户用一个密码, 密码强度要足够高。比如,你不应当在你的工商银行,交通银行帐户上使用相同的密码,更不应当把这个使用到你的电子邮件账户上。 密码强度要足够高, 比如混合大小写,密码长一点,加入非字母数字。 所以人人都会有很多账户/密码要记忆。这样,免不了要时不时的忘记密码,造成麻烦。
正是因为我会时不时的忘记密码,带来许多麻烦,我才写了这么一个加密工具。我的想法是,用一个主密码,把所有的的其它帐户/密码对统统加密的存起来。所以,使用这个工具,你只需要记忆一个主密码,然后,把其他密码都放在被安全加密的文件中,这就省去了记忆和忘记的麻烦。我自己就使用这个工具.
工具的技术说明
本工具有两个不起眼但却是关键点的地方。一,是对用户输入的密码进行Rfc2898DeriveBytes hash, 以产生一个随机数作为真正的加密密码。这样做的原因是,通常用户密码都不会太长,而且随机性不好。经过Rfc2898DeriveBytes hash后,就变成了一个接近真正随机数的16位长的密码, 其反破译强度大大提高。 二,在进行Rfc2898DeriveBytes hash时,可以选择hash的循环次数(在配置文件 .config中的 HashLoop)。选一个较大hashloop也是很重要的,因为,破译者在破译时,会用加密是相同的处理路径,也就是直接对用户密码进行brutal force破译, 选择大的hashloop, 会增加对每个可能用户密码的尝试时间,从而增加整体的破译困难。 作者选了100000, 对于一般的保密,选取100000是够用的。
本人曾在某著名外企公司设计过一款专业的安全加密软件, 所以,对安全加密有关的沟沟坎坎还是比较在熟悉的,要不然我怎么会自己放心的使用它。不过,我也还是要声明一下,这是一款完全免费的工具,对使用此工具者不承担任何责任。你要是不放心其中会有什么病毒或猫腻的话,就自己编译生成一遍,所以附加了源代码,好让大伙放心使用。
工具的使用简介
工具本质上是个文件加密工具。为了存储一个账户/密码对,你只要在文件中输入这么一行, “账户=密码,说明”,然后,你可以利用工具的搜索功能在文件中直接定位某个你要查找的账户/密码对.
工具的使用场合与局限性
16位长的密码不能说强度是超强的, 另外,Rfc2898DeriveBytes hash的随机性不无问题,所以,如果您的秘密非常重要,比如是什么间谍名单或者最高国家机密之类的,那么使用这个工具不够充分。此外,本工具最合适的使用地方是您的个人计算机。在公用计算机上使用,会有风险。
工具的下载地址
为了消除对可执行文件中可能包含病毒的疑虑,特别在zip文件中包括了源代码, http://download.csdn.net/source/2830507 (注: 我本来想把文件也移过来的,可是我居然自己没有足够的分数去下载我自己的东西,那位如果有的话,请帮忙移过来。)