文章总结: 本文介绍了一款开源的Android两步验证应用口令盒子,其核心特点是注重隐私与安全,所有密钥在本地通过SQLCipher加密存储,并支持指纹或PIN应用锁。该工具可扫码、图片或手动录入添加账号,支持Aegis和GoogleAuthenticator数据导入。其独特功能是通过GitHubGist实现端到端加密同步,确保云端仅存密文。开发者使用AI工具在60分钟内完成初版,项目已开源。 综合评分: 85 文章分类: 安全工具,移动安全,数据安全
开源一个 OTP 管理工具-口令盒子
原创
adra1n adra1n
YY的黑板报
2026年7月14日 10:31 天津
在小说阅读器读本章
去阅读
先说下背景,为啥要做这个,互联网上的 otp 管理工具不少,开源的也有,但是发现存在一个问题,不开源的要不全是广告,要不没办法同步,同步还需要收费,开源的找了半天,https://github.com/beemdevelopment/Aegis 这个还是比较满足需求,但是用久了,换手机时候发现一个问题,他没有同步功能,需要把文件导出来再导入进去,后来想还不如自己做一个。
使用的工具介绍下:OpenCode+OpenSpec+Superpower+hy3,现在腾讯的 hy3 模型可以免费使用,赶紧在这段时间内完成,也算薅一把羊毛。
具体其他几个工具都是干啥的,大家可以网上查查看,简单来说,安装了这几个之后,你只要自然语言描述就可以做项目开发了,后续任何需求都可以通过聊天方式进行。
用时 60 分钟,完成了初版开发,界面和Aegis类似,但是去掉了一些用不到的设置和功能,做了精简。
地址:
https://github.com/adra2n/otpbox
简介:
一款注重隐私与安全的 Android 两步验证(2FA / TOTP)认证器应用。所有密钥均在本地加密存储,支持指纹 / PIN 应用锁,并可选地通过你自己的 GitHub Gist 进行端到端加密同步。
功能:
- 扫码添加:使用 CameraX + ML Kit 实时扫描
otpauth://二维码 - 图片导入:从相册选择含二维码的图片自动识别
- 手动录入:填写密钥(Base32)或粘贴
otpauth://链接 - JSON 导入:支持口令盒子自有备份格式与 Aegis 未加密导出
- Google Authenticator 迁移:解析
otpauth-migration://批量导入 - 编辑服务名 / 账号 / 备注,删除账号
- 首页搜索、排序(自定义 / 按服务名 / 按账号)
为了安全和同步,实现了数据加密和 github 的上传:
安全
- SQLCipher 加密数据库,密钥由 Android Keystore(硬件级,若支持)封装
- 敏感配置存于 EncryptedSharedPreferences
- 应用锁:指纹 / 面容 / 设备凭证解锁
- 6 位 PIN 码备用解锁(PBKDF2 加盐哈希)
- 自动锁定:立即 / 1 分钟 / 5 分钟
- 默认开启
FLAG_SECURE,阻止截屏与录屏 - 关闭系统自动备份,防止密钥外泄
备份与同步
- 加密导出:PBKDF2-HMAC-SHA256 (600k) 派生密钥 + AES-256-GCM 信封
- GitHub Gist 同步:手动推送 / 拉取,云端仅存密文
- 按账号 ID 合并(
updatedAt最新优先,尊重删除墓碑),多设备安全合并 - 备份密码与应用锁 PIN 相互独立
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:YY的黑板报 adra1n adra1n《开源一个 OTP 管理工具-口令盒子》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论