gokey – ein leichtgewichtiger Passwort-Manager, der Passwörter ohne Speicher „berechnet“ erzeugt

 (github.com/cloudflare)
25 Punkte von xguru 2025-11-25 | 7 Kommentare | Auf WhatsApp teilen
  • Ein Passwort-Manager ohne Passwortspeicher (Vault), der durch die Kombination aus Master-Passwort + Realm-String stets dasselbe Passwort on the fly erzeugt
  • Auf jedem Gerät lässt sich mit denselben Eingaben dasselbe Passwort reproduzieren, sodass Probleme mit Backups, Synchronisierung und Vertrauen in Drittanbieter von vornherein entfallen
  • Unterstützt neben einfachen Passwörtern auch die Erzeugung verschiedenster Schlüsseltypen wie ECC/RSA-Schlüssel, rohe Byte-Streams und Seed-Dateien
  • Für Fälle mit Bedarf an starker Entropie kann eine verschlüsselte Seed-Datei erstellt und auch für die Erzeugung hochstarker Schlüssel genutzt werden (verschlüsselt mit AES-256-GCM)
  • Ein CLI-zentriertes Tool, mit dem sich durch Kombination von -p, -r, -t usw. alles von URL-basierten Login-Passwörtern bis zu x25519- und ed25519-Schlüsseln reproduzieren lässt
  • Die Ausgabe erfolgt standardmäßig über stdout und kann mit der Option -o in einer Datei gespeichert werden
  • Unterstützte Ausgabetypen
    • pass: Erzeugung gewöhnlicher Passwörter
    • seed: Erzeugung verschlüsselter Seed-Dateien
    • raw: Erzeugung eines 32-Byte-Zufallsstreams
    • ec256, ec384, ec521: Erzeugung von ECC-Privatschlüsseln
    • rsa2048, rsa4096: Erzeugung von RSA-Privatschlüsseln
    • x25519, ed25519: Curve25519-basierte ECC-Schlüssel
  • Zwei Betriebsmodi
    • Simple mode: Ableitung von Passwörtern nur mit Master-Passwort und Realm-String
      • Erzeugt für jede Kombination ein eindeutiges Ergebnis, ohne dass etwas separat gespeichert werden muss
      • Das Sicherheitsniveau hängt allerdings von der Stärke des Master-Passworts ab
    • Seed file mode: nutzt eine Seed-Datei als Entropiequelle, um höhere Sicherheit zu erreichen
      • Die Seed-Datei ist mit AES-256-GCM verschlüsselt und kann sicher in externen Speichern (z. B. Google Drive, Dropbox) gesichert werden
      • Das Master-Passwort dient nur zum Schutz der Seed-Datei
  • Eine CLI-Utility auf Basis von Go, installierbar mit dem Befehl go install github.com/cloudflare/gokey/cmd/gokey@latest
  • Open Source, entwickelt von Cloudflare

Verwandte Beiträge

7 Kommentare

 
sngwn 2025-11-25

https://pashword.app/
Das ist dem hier sehr ähnlich.
 
crawler 2025-11-25

Das scheint wirklich eine gute Idee zu sein, aber ich glaube, es gibt einen Grund, warum all die anderen Dienste einen Speicher haben.
Selbst wenn man das nutzt, müsste man sich vermutlich Dutzende Informationen merken, sei es die Anzahl der Änderungen oder den Schlüssel, jedes Mal wenn eine Website dazu auffordert, das Passwort zu ändern...
 
hided62 2025-11-25

Wenn man Passwörter auch als eine Art Schlüssel betrachtet, ist das mit der richtigen Key-Derivation-Function durchaus machbar.

pw = kdf(master_key, site_id, {salt})

Man muss nur festlegen, ob site_id die Domain sein soll oder ein sitespezifischer eindeutiger Wert,
und wenn es eine lästige Seite ist, die einen zum monatlichen Wechsel zwingt, ändert man jedes Mal einfach das salt.
 
t7vonn 2025-11-26

Dann müsste man am Ende doch auch den Salt für jede Website separat speichern, oder? haha
 
t7vonn 2025-11-25

Wenn sich die Domain ändert oder man mehrere verwendet, ist das wohl nichts ...
 
howudoin 2025-11-25

Diese Art ist viel besser.
Wird aber völlig ruiniert durch Websites, die einen mit diesem Verwaltungsquatsch drangsalieren: Sonderzeichen und Zahlen ins Passwort packen, es alle drei Monate ändern und so weiter.
Die tatsächlichen Sicherheitsrisiken werden eher von Website-Planern verursacht, die nicht einmal wissen, was Sicherheit überhaupt bedeutet.
 
say8425 2025-11-25

Ach … ich stimme zu: „Die eigentliche Sicherheitsbedrohung wird eher von Website-Planern verursacht, die nicht wissen, was Sicherheit überhaupt ist.“
Da kommen plötzlich ein paar unschöne Erinnerungen hoch ;_;