Веб-бази (та зашифровані) База даних паролів / ліцензій / Etc [закрита]

9

Шукаю систему для зберігання багатьох даних, які я використовую як консультант / програміст. Хоча я знаю, що я міг би використовувати KeePass або подібне для використання на робочому столі або щось на зразок PassPack для веб-зберігання (шифрування на стороні клієнта) зберігання паролів, навіть Evernote можна було б використовувати для створення "ноутбука" для кожного клієнта / проекту із зашифрованими конфіденційними даними - Що я шукаю - це послуга, яка надає:

  • Зберігання різних облікових даних (WPA-ключі, ліцензії на програмне забезпечення, клавіші API Amazon).
  • Безпечний спосіб вимагати облікові дані, не примушуючи підписуватись.

Я, мабуть, був би в порядку зі зберіганням різних даних як паролів - головне - це отримати дані. Хоча PassPack має інтерфейс "спільного доступу", він змусить клієнтів зареєструватися. Я шукаю щось, що спрощує шифрування публічного / приватного ключа, щоб я міг сказати клієнту: «Не пишіть мені це електронною поштою, просто перейдіть на ___.com/tjlytle та заповніть форму».

Я пропустив будь-який сайт, що робить це?

untagged 
Тім Літл
джерело
1
Я будую це для себе та своїх клієнтів, працівників та партнерів; якщо ніхто не відповість, я здогадуюсь, що бізнес готовий до того, щоб відбутися ...
Девін Сертас
@ Девін Так, це я думаю, я просто шукаю існуюче рішення, перш ніж знімати щось, щоб написати щось. Як далеко ви?
Тім Літлер
Щойно я подумав , що після публікації тут знайшов пов’язану публікацію про супер користувача ( superuser.com/questions/255/… ), але нічого не бачив із функцією "запит", яку я шукаю.
Тім Літлер
Бібліотеки криптовалют @Devin PassPack відкриті, але вся система Clipperz відкрита ( clipperz.com/open_source/clipperz_community_edition ), можливо, це гарне початкове місце?
Тім Літлер
Ось ще одна бібліотека JS ( pidder.com/pidcrypt ), і вона, здається, є частиною іншого веб-сайту управління паролями. Оскільки бібліотека підтримує RSA (у папці використовується AES), вони можуть працювати над загальнодоступною / приватною "надіслати пароль".
Тім Літлл

Відповіді:

3

Раніше працював у компаніях "керованих служб", я шукав щось подібне, але так і не знайшов. У мене не було часу чи схильності писати таке, починаючи з мого власного бізнесу, але для цього, безумовно, є ринок. Це, безумовно, було б зручно і для внутрішнього використання в ІТ-організації більш ніж 1 людини.

Я бачив занадто багато "рішень", що використовуються в поєднанні, використовуючи такі речі, як "Безпечний пароль", які не мають сильних (або будь-яких) механізмів аудиту. Величезний біль змінити всі паролі в "сейфі", коли хтось покине компанію. Збереження паролів, що зберігаються на стороні сервера, із деталізованими механізмами доступу та аудиторським слідком, полегшило б життя в таких випадках.

Особливості, які я хотів би включати:

  • Аутентифікація для окремих користувачів бази даних таким чином, що можна створити аудиторський слід. В ідеалі система аутентифікації використовувала б звичайну аутентифікацію HTTP.

  • Ваш "доступ без реєстрації" ("запит") виглядає як використання унікальної URL-адреси як "ярлика" для обходу аутентифікації для даного облікового запису, який може отримати доступ до одного пароля. Це звучить досить просто. Коли ви створюєте цей обліковий запис для одноразового використання, у вас повинні бути якісь метадані, щоб описати, чому створено обліковий запис (для звітності).

  • Звіти, які показують, до яких паролів зверталися, користувачі дозволяли змінювати лише необхідні паролі, коли хтось залишає компанію. Коли дані перебувають у зворотній частині бази даних, це легко.

  • Дати закінчення терміну дії пароля. Я використовую ці для керування сценаріями для автоматичного обертання паролів та реєстрації нових паролів у системі. Часто у мене є такі речі, як паролі облікового запису служби, які не хочу, щоб вони ставились до вимог старіння пароля операційної системи, але, в той же час, я хотів би змінити паролі раз на час.

Задній частині бази даних з веб-інтерфейсом CRUD, усі в упаковці SSL, для цього повинні працювати добре.

Не повинно бути занадто багато роботи, щоб збити щось швидке та брудне, але зробити це справді відшліфованим та чистим (із приємним клієнтським API), ймовірно, це буде якась робота.

Еван Андерсон
джерело
Здається, це досить міцна система, тоді як я просто шукаю єдину систему користувачів (як консультанта), ваш список функцій набагато більш вичерпний. Щодо функції запиту, я не шукаю одноразового доступу до пароля, а лише можливість додати пароль. Тож клієнт може заповнити пароль, для чого він потрібен і т. Д., А потім зашифрувати мій відкритий ключ, тож він надійно "надсилає" мені облікові дані (звичайно, вони можуть надіслати мені зашифрований електронний лист , але я шукаю для них щось просте).
Тім Літлер
Ой! Я неправильно зрозумів вашу функцію запиту. Те, що ви описуєте, вміючи вводити пароль у базу даних, також звучить дуже зручно! Здогадаєтесь, це допоможе, якщо я прочитаю речі, так? > усмішка <
Еван Андерсон
Побічна примітка: я б хотів кинути 500 доларів тому, хто розробив таку річ, або з ліцензією в стилі BSD, або з ліцензією GPL. Усі бажаючі повинні зв’язатися зі мною в режимі офлайн, і ми можемо поговорити про те, як виконати документ із вимогами та договір на виконання робіт.
Еван Андерсон
2

Ми використовуємо нашу вищезгадану бібліотеку pidCrypt в pidder ( https://www.pidder.com ) - веб-платформу, яка фокусується на безпечному управлінні та обміні секретами (паролями, повідомленнями, ідентифікаційною інформацією тощо).

У нас уже була функція "dropbox" у нашому списку todo, хоча і з невеликим пріоритетом та запланована на наступний реліз. Натрапивши на це питання, ми вирішили здійснити його на початку відкритої бета-версії пізніше цього року.

Отже, хоча для основних функцій буде потрібна реєстрація, також буде "папка", де кожен може надсилати зашифровані повідомлення зареєстрованому користувачеві, за умови, що він знає свою URL-адресу.

Йона
джерело
У будь-якому разі, щоб зайти на приватну бета-версію?
Тім Літлл
@Tim Sure, просто надішліть нам електронний лист на адресу, вказану на pidder.com/en/impressum.html
Jonah
Виглядає дуже добре - як тільки ви отримаєте Dropbox, це буде майже все, що я шукав.
Тім Літлл
@Tim: Dropbox доступний зараз, а pidder - бета-версія. Дайте нам знати, що ви думаєте.
Йона
1

Є щонайменше два онлайн-менеджери паролів, які є безкоштовним програмним забезпеченням:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Обидва виглядають досить добре (ще не використовували їх).

Наскільки я можу сказати, єдина функція, яка відсутня, - це можливість додавати пароль, не маючи облікового запису (якщо я вас правильно зрозумів).

Однак це не повинно бути надто важким, тому, можливо, має сенс розробитись на одному з цих продуктів. У цьому і полягає сенс вільного програмного забезпечення :-).

Одним із способів було б реалізувати функцію, яка дозволяє обмежити користувача у додаванні нових паролів. Тоді ви можете просто створити користувача "addpassword" з паролем за замовчуванням (або порожнім) та надіслати його клієнтам (або реалізувати функцію, щоб створити URI, який попередньо підтверджує вас, щоб ви могли просто надіслати посилання). Це має працювати і бути захищеним ...

sleske
джерело
0

Я знайшов одне рішення (лише для отримання паролів) - зашифрувати його в JavaScript, отримати зашифровані дані (електронною поштою / браузером), а потім вручну розшифрувати локально (так що незашифровані дані ніколи не залишаються незахищеними). Це не відшліфовано, але по суті це буде те саме, що клієнт шифрує та надсилає пароль - лише вони могли це зробити просто у веб-формі.

Ось приклад .

Тім Літл
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.