开源一个OTP管理工具-口令盒子

admin 2026-07-16 04:58:22 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍了一款开源的Android两步验证应用口令盒子,其核心特点是注重隐私与安全,所有密钥在本地通过SQLCipher加密存储,并支持指纹或PIN应用锁。该工具可扫码、图片或手动录入添加账号,支持Aegis和GoogleAuthenticator数据导入。其独特功能是通过GitHubGist实现端到端加密同步,确保云端仅存密文。开发者使用AI工具在60分钟内完成初版,项目已开源。 综合评分: 85 文章分类: 安全工具,移动安全,数据安全


cover_image

开源一个 OTP 管理工具-口令盒子

原创

adra1n adra1n

YY的黑板报

2026年7月14日 10:31 天津

在小说阅读器读本章

去阅读

先说下背景,为啥要做这个,互联网上的 otp 管理工具不少,开源的也有,但是发现存在一个问题,不开源的要不全是广告,要不没办法同步,同步还需要收费,开源的找了半天,https://github.com/beemdevelopment/Aegis 这个还是比较满足需求,但是用久了,换手机时候发现一个问题,他没有同步功能,需要把文件导出来再导入进去,后来想还不如自己做一个。

使用的工具介绍下:OpenCode+OpenSpec+Superpower+hy3,现在腾讯的 hy3 模型可以免费使用,赶紧在这段时间内完成,也算薅一把羊毛。

具体其他几个工具都是干啥的,大家可以网上查查看,简单来说,安装了这几个之后,你只要自然语言描述就可以做项目开发了,后续任何需求都可以通过聊天方式进行。

用时 60 分钟,完成了初版开发,界面和Aegis类似,但是去掉了一些用不到的设置和功能,做了精简。

地址:

https://github.com/adra2n/otpbox

简介:

一款注重隐私与安全的 Android 两步验证(2FA / TOTP)认证器应用。所有密钥均在本地加密存储,支持指纹 / PIN 应用锁,并可选地通过你自己的 GitHub Gist 进行端到端加密同步。

功能:

  • 扫码添加:使用 CameraX + ML Kit 实时扫描 otpauth:// 二维码
  • 图片导入:从相册选择含二维码的图片自动识别
  • 手动录入:填写密钥(Base32)或粘贴 otpauth:// 链接
  • JSON 导入:支持口令盒子自有备份格式与 Aegis 未加密导出
  • Google Authenticator 迁移:解析 otpauth-migration:// 批量导入
  • 编辑服务名 / 账号 / 备注,删除账号
  • 首页搜索、排序(自定义 / 按服务名 / 按账号)

为了安全和同步,实现了数据加密和 github 的上传:

安全

  • SQLCipher 加密数据库,密钥由 Android Keystore(硬件级,若支持)封装
  • 敏感配置存于 EncryptedSharedPreferences
  • 应用锁:指纹 / 面容 / 设备凭证解锁
  • 6 位 PIN 码备用解锁(PBKDF2 加盐哈希)
  • 自动锁定:立即 / 1 分钟 / 5 分钟
  • 默认开启 FLAG_SECURE,阻止截屏与录屏
  • 关闭系统自动备份,防止密钥外泄

备份与同步

  • 加密导出:PBKDF2-HMAC-SHA256 (600k) 派生密钥 + AES-256-GCM 信封
  • GitHub Gist 同步:手动推送 / 拉取,云端仅存密文
  • 按账号 ID 合并(updatedAt 最新优先,尊重删除墓碑),多设备安全合并
  • 备份密码与应用锁 PIN 相互独立

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:YY的黑板报 adra1n adra1n《开源一个 OTP 管理工具-口令盒子》

评论:0   参与:  0