gokey - 저장소 없이 비밀번호를 “계산해서” 만들어내는 경량 패스워드 매니저
(github.com/cloudflare)- 비밀번호 저장소(vault)가 필요 없는 패스워드 매니저로, 마스터 비밀번호 + realm 문자열을 조합해 항상 동일한 비밀번호를 즉석에서 생성함
- 어떤 기기에서도 동일한 입력만 있으면 같은 비밀번호를 재현할 수 있어 백업·동기화·3rd-party 신뢰 문제 자체가 사라짐
- 단순 비밀번호뿐 아니라 ECC/RSA 키·raw 바이트 스트림·seed 파일 등 다양한 유형의 키 생성 지원
- 강한 엔트로피가 필요한 경우를 위해 암호화된 seed 파일을 만들어 고강도 키 생성에도 활용 가능 (AES-256-GCM으로 암호화)
- CLI 중심의 도구로
-p,-r,-t등을 조합해 URL 기반 로그인 패스워드부터 x25519·ed25519 키까지 모두 재현 가능 - 출력은 기본적으로 stdout으로 제공되며,
-o옵션으로 파일 저장 가능 - 지원되는 출력 유형
-
pass: 일반 비밀번호 생성 -
seed: 암호화된 시드 파일 생성 -
raw: 32바이트 난수 스트림 생성 -
ec256,ec384,ec521: ECC 개인키 생성 -
rsa2048,rsa4096: RSA 개인키 생성 -
x25519,ed25519: Curve25519 기반 ECC 키 생성
-
-
2가지 운영 모드
-
Simple mode: 마스터 비밀번호와 realm 문자열만으로 파생 비밀번호 생성- 각 조합마다 고유한 결과를 생성하며, 별도 저장 불필요
- 단, 마스터 비밀번호 강도에 따라 보안 수준 결정
-
Seed file mode: 시드 파일을 엔트로피 소스로 사용해 더 높은 보안성 확보- 시드 파일은 AES-256-GCM으로 암호화되어 외부 저장소(예: Google Drive, Dropbox)에 안전하게 백업 가능
- 마스터 비밀번호는 시드 파일 보호용으로만 사용
-
-
Go 언어 기반 CLI 유틸리티로,
go install github.com/cloudflare/gokey/cmd/gokey@latest명령으로 설치 가능 - Cloudflare가 개발한 오픈소스
정말 좋은 아이디어 같지만 다른 서비스들이 저장소를 가지는 건 전부 이유가 있는 거 같습니다.
이걸 쓰더라도 사이트에서 비번 바꾸라고 할 때마다 횟수든 키든 정보를 수십 개는 기억해야 할 테니...
비밀번호도 일종의 키라고 한다면 키 유도 함수만 적절히 사용하면 못할것도 없겠죠.
pw = kdf(master_key, site_id, {salt})
site_id를 도메인으로 할 것이냐, 아니면 사이트에 고유값으로 할 것이냐 정하면 되고,
매달마다 바꾸게 시키는 귀찮은 곳이면 salt를 그때마다 바꾸면 되고.
이런 방식이 훨씬 나은데
비밀번호에 특수문자랑 숫자를 몇개 넣어라 3개월마다 바꿔라 이런 관리질을 해대는 사이트 때문에 개망함.
실질적인 보안 위협은 보안이 뭔지 모르는 사이트 기획자가 더 유발함