Я подумываю о том, что я немного программирую пароль. Приложение, которое можно вызвать с помощью сочетания клавиш, а затем я могу выбрать любой пароль, который мне нужен. Это позволило бы мне использовать огромные сложные пароли, которым нужно было запомнить только один. Данные этого инструмента, пароли, будут храниться на диске, зашифрованы и, надеюсь, с одним шагом авторизации, что инструмент будет доступен пользователю для нескольких идентификаторов. Это создает, однако, одну точку отказа, поэтому мне было интересно, какие проблемы безопасности я должен иметь в виду.Проблемы с безопасностью паролей
Этот диспетчер паролей должен быть интуитивно вызван, поэтому я думал, что это может сделать сокращение от OS-клавиатуры, но я боюсь, что другие приложения также могут вызвать его без разрешения. Так должен ли я спрашивать пароль пользователя каждый раз, когда это приложение вызывается? Или я просто предполагаю, что вредоносное приложение, которое может вызвать это приложение, может так же легко записывать нажатия клавиш пользователя, разрешающего этот инструмент, и просто избегать этого лишнего бесполезного шага?
Я также рассматривал количество символов в пароле и типе символов. В некоторых приложениях допускается только до 16 символов на пароль, я думал о том, что в одном случае пользователь может выбрать пароль base64, который в лучшем случае оставит только 2^96 возможных комбинаций паролей. Должен ли я использовать пароли base64? Являются ли символы '+' и '/' общепринятыми в качестве символов пароля (используются в base64)? Должен ли я разрешать непечатаемые символы в пароле типа newline и null (base128)? Должен ли я беспокоиться о проблемах с повреждением памяти при использовании символа (null)? Должен ли я разрешать расширенные символы ascii в пароле (base256)?
Я думал о доставке пароля сразу после выбора, просто наберите его в любом объекте, имеющем фокус. В графических средах, хотя я рассматривал использование конкретного API буфера обмена ОС, который я еще не прочитал. Будут ли там проблемы с безопасностью? Как безопасная очистка буфера обмена или совместное использование этих данных с другими приложениями. Кажется, мне кажется, что я читал что-то о javascript-коде, чтобы этот код попадал в буфер обмена (я читал это несколько лет назад).
Это мои опасения по поводу безопасности такого приложения. Если у вас есть некоторое представление о них, я бы хотел прочитать его, и я также открыт для обсуждения аргументов о других проблемах.
Что случилось с использованием существующего менеджера паролей? – MvdD