Сетевой (и зашифрованный) пароль / лицензия / база данных и т. Д. [Закрыто]

Ищу систему для хранения многих учетных данных, которые я использую как консультант / контрактный программист. Хотя я знаю, что могу использовать KeePass или аналогичный для настольных ПК или что-то вроде PassPack для хранения паролей на основе веб-интерфейса (шифрование на стороне клиента), даже Evernote можно использовать для создания «записной книжки» для каждого клиента / проекта с зашифрованными конфиденциальными данными - я ищу сервис, который предоставляет:

• Хранение различных учетных данных (ключи WPA, лицензии на программное обеспечение, ключи Amazon API).
• Безопасный способ запрашивать учетные данные, без принудительной регистрации.

Я бы, наверное, согласился с хранением различных данных в качестве паролей - важнее всего получать данные. В то время как PassPack имеет интерфейс «общего доступа», это заставит клиентов зарегистрироваться. Я ищу что-то, что упрощает шифрование с открытым / закрытым ключом, чтобы я мог сказать клиенту: «Не посылайте это мне по электронной почте, просто зайдите на ___.com/tjlytle и заполните форму».

Я пропустил какой сайт это делает?

Проработав в прошлом в фирмах «управляемых услуг», я искал что-то подобное, но так и не нашел. У меня не было времени или желания писать такие вещи с самого начала своего бизнеса, но определенно есть рынок для этого. Это определенно было бы удобно для внутреннего использования в ИТ-организации, состоящей более чем из 1 человека.

Я видел слишком много «решений» kluged, использующих такие вещи, как «Password Safe», которые не имеют сильных (или каких-либо) механизмов аудита. Очень сложно менять все пароли в «сейфе», когда кто-то покидает компанию. Хранение паролей на стороне сервера с детализированными механизмами доступа и контрольным журналом значительно облегчит жизнь в такой ситуации.

Особенности, которые я хотел бы включить:

• Аутентификация отдельных пользователей в базе данных так, что может быть создан контрольный журнал. В идеале система аутентификации должна использовать обычную HTTP-аутентификацию.

• Ваш «доступ без регистрации» («запрос») похож на использование уникального URL-адреса в качестве «ярлыка» для обхода проверки подлинности для определенных учетных данных, которые могут получить доступ к одному паролю. Это звучит довольно просто для реализации. Когда вы создаете эти одноразовые учетные данные, у вас должны быть какие-то метаданные, чтобы описать, почему учетные данные были созданы (для составления отчетов).

• Отчеты, показывающие, какие пароли были доступны тем или иным пользователям, чтобы разрешить изменять только необходимые пароли, когда кто-то покидает компанию. Как только данные находятся в базе данных, это легко.

• Срок действия пароля. Я бы использовал их для запуска сценариев для автоматического ротации паролей и регистрации новых паролей в системе. Часто у меня есть такие вещи, как пароли служебных учетных записей, на которые я не хочу распространяться требования устаревания паролей операционной системы, но в то же время я хотел бы, чтобы пароли менялись один раз в какое-то время.

Серверная часть базы данных с веб-интерфейсом CRUD, полностью обернутая в SSL, должна нормально работать для этого.

Не должно быть слишком много работы, чтобы собрать что-то быстрое и грязное, но сделать его действительно отполированным и чистым (с хорошим клиентским API), вероятно, было бы трудом.

Мы используем нашу вышеупомянутую библиотеку pidCrypt в pidder ( https://www.pidder.com ) - веб-платформе, которая ориентирована на безопасное управление и обмен секретами (паролями, сообщениями, идентификационной информацией и т. Д.).

У нас уже была функция «dropbox» в нашем списке задач, хотя и с небольшим приоритетом и запланированная на более поздний выпуск. Наткнувшись на этот вопрос, мы решили внедрить его в начале нашего открытого бета-тестирования позже в этом году.

Таким образом, в то время как основные функции потребуют регистрации, также будет «Dropbox», где любой может отправлять зашифрованные сообщения зарегистрированному пользователю, если они знают его или ее URL-адрес Dropbox.

Существует как минимум два онлайн-менеджера паролей, которые являются бесплатными:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Оба выглядят довольно хорошо (еще не использовали их).

Насколько я могу судить, единственная отсутствующая функция - это возможность добавить пароль без учетной записи (если я вас правильно понял).

Это не должно быть слишком сложным, чтобы добавить один из этих продуктов. В конце концов, в этом и заключается смысл свободного программного обеспечения :-).

Один из способов - реализовать функцию, позволяющую ограничивать добавление новых паролей пользователю. Затем вы можете просто создать пользователя «addpassword» с паролем по умолчанию (или пустым) и отправить его клиентам (или реализовать функцию для создания URI, который предварительно аутентифицирует вас, поэтому вы можете просто отправить ссылку). Это должно работать и быть в безопасности ...

Одно из решений, которое я нашел (просто для получения паролей), - это зашифровать его в javascript, извлечь зашифрованные данные (через электронную почту или браузер), а затем вручную дешифровать их локально (чтобы незашифрованные данные никогда не перемещались без защиты). Это не полируется, но по сути это будет то же самое, что шифрование клиента и отправка пароля - только они могут сделать это просто в веб-форме.

Вот пример .

Я нашел LastPass, чтобы быть прекрасным менеджером паролей для моих паролей. Проверьте список возможностей .

Хотя я также в поиске лучшего (но доступного) корпоративного менеджера паролей .