Passwordifier

Eigentlich benötigt man "endlos" lange Passworte um sich vor Brute-Force Angriffen schützen zu können. Allerdings kann sich so etwas kein Mensch merken.

Und dann sollte man noch für jeden Server und jede Anmeldung ein individuelles Passwort verwenden. Das kann sich dann erst recht keiner merken.

Und da hilft der Passwordifier: eine HTML-Datei mit ein bisschen JavaScript, das Servernamen (oder URL) und Passwort zusammen mit einem "Salt" (einem im Skript fest eingestellten, zweiten Passwortteil) in ein 48stelliges Passwort verwandelt. Das Ganze passiert lokal im Browser, es werden keine Daten an irgendeinen Server geschickt.

Für Interessierte: das Passwordifizierte Ergebnis setzt sich aus einem Prefix ("Pw8.") und der base64-Darstellung eines SHA256-Hashes zusammen, das aus eigenem Salt, URL, Passwort und Skript-Salt errechnet wird.

Vorbereitung

  • Diese HTML-Datei lokal auf dem eigenen Rechner abspeichern
  • in einem Editor / Wordpad öffnen
  • das Salt (der Text zwischen den einfachen Hochkommata) in Zeile 7 durch einen eigenen, längeren Text ersetzen
  • geänderte HTML-Datei an wiederfindbarer Adresse abspeichern
  • Sicherheitskopien auf anderen privaten Medien (USB-Sticks, Webseite, ...) ablegen

Anwendung

  • die eigene, lokale HTML-Datei im Browser öffnen
  • Servernamen oder URL eingeben, wo man sich anmelden möchte
  • Passwort eingeben - es kann für alle Anmeldungen dasselbe sein, der Passwordifier sorgt automatisch dafür, dass jeder Server ein eigenes Resultat bekommt
  • "Passwordify"-Knopf drücken
  • Passwordified-Zeile kopieren und als Passwort nutzen
Theoretically you'd need an "endlessly" long password to be protected against brute force guessing attacks. Practically this is very hard for the average human.

Additionally you should use a different password for each and every system and login you are using. That noone can memorize any more.

And here the Passwordifier helps: a HTML-file with a little bit of JavaScript included, that cryptographically munges server name (or URL) and password together with a fixed salt (a second password, fixed in this file) and converts it into a "safe", 48 character long password. All this is computed locally in the browser; no server is involved in this, all data stays on your computer.

For the cryptographically inclined: the passwordified result is combined from a prefix ("Pw8.") and a base64-encoded SHA256 hash, which is calculated from your configured salt, the URL, your password and a second salt that is fixed in the script.

Preparation

  • save this file locally on your PC
  • open it in Editor / Wordpad
  • replace the salt (text between the single quotes) in line 7 by your own sentence
  • save the changed file where you can find it
  • save copies on your own private media (USB sticks, website, ...) as backup

Usage

  • open your own local copy (with changed salt) in a browser
  • fill out server name or URL where you want to log in
  • enter password - can be the same for all logins, as the passwordifier makes login passwords unique for each server or URL
  • press "Passwordify" button
  • copy the Passwordified field and use that as your password

 

URL / Domain / server
Your Password
 
Passwordified (default)
39 chars
29 chars
19 chars
14 chars

 

2012 by Volker Tanger <volker.tanger@wyae.de>

enthält / contains
Jeff Mott's CryptoJS v3.0.2

both licensed under 2-clause BSD license