A CarryPass egy nem feltáró bizonyításon (zero-knowledge) alapuló jelszó- és hitelesítő-adat kezelő, amely offline használatra, adatvédelemre és átláthatóságra épül.
2020-ban feltörték az egyik közösségi média fiókomat, kizártak belőle, és ez rávilágított egy kellemetlen igazságra: nagyon gyenge jelszóhasználati szokásaim voltak. Ugyanazt az alapszót használtam több oldalon, legfeljebb egy „1”-est vagy egy felkiáltójelet (!) tettem a végére, ha ezt megkövetelte a rendszer. A betörés után egy ismert jelszókezelőre váltottam — amit néhány évvel később szintén feltörtek. Ekkor döntöttem úgy, hogy megalkotom a CarryPass-t: egy állapotmentes jelszókezelőt és hitelesítőadat megosztó eszközt, amely semmit nem tárol, és semmire nem emlékszik. Nincs felhő, nincs adatbázis, nincs szinkronizálás — csak determinisztikus, kliensoldali kriptográfia. A jelszavaid sosem kerülnek eltárolásra; minden alkalommal újra kiszámoljuk őket, matematikai alapon, a böngésződben. A CarryPass a válaszom a gyenge jelszavakra, az adatszivárgásokra és a „vak bizalmon” alapuló eszközökre. Az adatvédelem, a szerverfüggetlenség, és a lelki nyugalom megőrzése érdekében készült.
A legtöbb jelszókezelő felhőszinkronra, adatbázisokra vagy böngészőbővítményekre támaszkodik. A CarryPass más utat választ: soha nem tárol jelszavakat. Ehelyett valós időben számolja ki azokat, egy mesterjelszó, szolgáltatásnév és karakterbeállítások alapján.
Nincs szükség szinkronizálásra vagy adatbázisra, amit feltörhetnek. Ugyanaz a biztonságos jelszó bármilyen eszközön újra előállítható – akár offline is.
A CarryPass determinisztikus modellt használ, amely az Argon2id, a PBKDF2 és az AES-CTR algoritmusokat kombinálja a biztonságos jelszavak előállításához. Megosztott hitelesítési adatok esetén az Argon2id, a PBKDF2 és az AES-GCM gondoskodik a felhasználónkénti vagy csapatonkénti titkosításról.
A CarryPass biztonságos jelszómegosztást tesz lehetővé csapat-tárolók és QR-kódos beléptetés segítségével. Minden csapattag kizárólag a hozzá rendelt adatokhoz fér hozzá — semmi máshoz. TOTP-alapú hitelesítés is támogatott a fokozott védelem érdekében.
Az adminisztrátorok titkosított konfigurációkat készíthetnek, tagokat rendelhetnek hozzá, és "forgathatják" a hitelesítő adatokat – anélkül, hogy valaha is látnák a tagok jelszavait.
A CarryPass alkalmazás valódi végponttól végpontig terjedő titkosítást (E2EE) valósít meg minden érzékeny adat esetén, beleértve a jelszótárolókat, hitelesítő adatokat és csapatbeállításokat. Minden titkosítási és visszafejtési művelet kizárólag a felhasználó eszközén történik, a jelszavakból vagy kódokból helyben származtatott kulcsokkal.
A titkosított tárolók helyileg is elmenthetők, vagy kiszolgálón keresztül is elérhetők, de mindig csak titkosított formában. A CarryPass szerverei és infrastruktúrája soha nem tárolnak vagy dolgoznak fel semmilyen visszafejthető adatot vagy kulcsot, így nem férnek hozzá a felhasználói tárolókhoz, jelszavakhoz vagy beállításokhoz.
Ez az architektúra garantálja, hogy kizárólag a megfelelő felhasználó — saját eszközén és kódjával — férhet hozzá a visszafejtett tartalomhoz, még akkor is, ha az adatokat valaki elfogja, ellopja, vagy harmadik fél infrastruktúráján tárolják.
A CarryPass valós adatvédelmi kihívások megoldására készült — például jelszavaid elérésére egy új eszközön, offline módban vagy nem megbízható környezetben. Nem igényel háttérszolgáltatást, és semmilyen nyomot nem hagy maga után.
A részletes útmutatót és a biztonsági megoldások leírását lásd: