Database basato su Web (e crittografato) Password / Licenza / Etc [chiuso]

Alla ricerca di un sistema per archiviare le molte credenziali che utilizzo come consulente / programmatore di contratto. Mentre so che potrei usare KeePass o simili per uso desktop, o qualcosa come PassPack per l'archiviazione password basata sul web (crittografia lato client), anche Evernote potrebbe essere usato per creare un 'notebook' per ogni client / progetto con i dati sensibili crittografati - quello che sto cercando è un servizio che fornisce:

• Archiviazione di diverse credenziali (chiavi WPA, licenze software, chiavi API Amazon).
• Modo sicuro per richiedere le credenziali, senza forzare un'iscrizione.

Probabilmente starei bene con l'archiviazione di vari dati come password: la cosa importante è ottenere i dati. Mentre PassPack ha un'interfaccia di "condivisione", costringerebbe i clienti a registrarsi. Sto cercando qualcosa che semplifichi la crittografia della chiave pubblica / privata in modo da poter dire a un cliente: "Non inviarmelo via e-mail, vai su ___.com/tjlytle e compila il modulo."

Ho perso qualunque sito lo faccia?

Avendo lavorato per aziende di "servizi gestiti" in passato, ho cercato qualcosa del genere ma non l'ho mai trovato. Non ho avuto il tempo o la propensione a scrivere una cosa del genere da quando ho iniziato la mia attività, ma c'è sicuramente un mercato per questo. Sarebbe sicuramente utile anche per uso interno all'interno di un'organizzazione IT di più di 1 persona.

Ho visto troppe "soluzioni" kluged usando cose come "Password Safe" che non hanno meccanismi di controllo forti (o alcuno). È una vera seccatura cambiare tutte le password in "sicurezza" quando qualcuno lascia l'azienda. Mantenere le password archiviate sul lato server con meccanismi di accesso granulari e una pista di controllo renderebbe la vita molto più semplice in tale eventualità.

Le funzionalità che vorrei includere:

• Autenticazione per singoli utenti nel database in modo tale da generare una pista di controllo. Idealmente, il sistema di autenticazione userebbe l'autenticazione HTTP semplice o precedente.

• Il tuo "accesso senza iscrizione" (funzione "richiesta") sembra come usare un URL unico come "scorciatoia" per bypassare l'autenticazione per una determinata credenziale che può accedere a una singola password. Sembra abbastanza semplice da implementare. Quando crei le credenziali usa e getta una volta, dovresti avere una sorta di metadati per descrivere il motivo per cui le credenziali sono state create (per i rapporti).

• Rapporti che mostrano a quali password hanno avuto accesso gli utenti che consentono di modificare solo le password necessarie quando qualcuno lascia l'azienda. Una volta che i dati sono in un back-end del database, questo è facile.

• Date di scadenza della password. Userei questi per guidare gli script per eseguire la rotazione automatica delle password e il check-in di nuove password per il sistema. Spesso ho cose come le password degli account di servizio che non voglio essere soggetta ai requisiti di invecchiamento delle password del sistema operativo ma, allo stesso tempo, mi piacerebbe che le password cambiassero di tanto in tanto.

Un back-end di database con un'interfaccia web CRUD tutto racchiuso in SSL dovrebbe funzionare bene per questo.

Non dovrebbe essere troppo lavoro per mettere insieme qualcosa di veloce e sporco, ma renderlo davvero lucido e pulito (con una bella API client) probabilmente sarebbe un po 'di lavoro.

Usiamo la nostra libreria pidCrypt di cui sopra in pidder ( https://www.pidder.com ) - una piattaforma basata sul web che si concentra sulla gestione e la condivisione di segreti (password, messaggi, informazioni sull'identità, ecc.) In modo sicuro.

Avevamo già una funzione "dropbox" nella nostra lista di cose da fare, anche se con poca priorità e programmata per una versione successiva. Dopo esserci imbattuti in questa domanda, abbiamo deciso di implementarla all'inizio della nostra open beta entro la fine dell'anno.

Pertanto, sebbene le funzionalità principali richiedano la registrazione, ci sarà anche una "casella personale" in cui chiunque può inviare messaggi crittografati a un utente registrato purché sappia il proprio URL della casella personale.

Esistono almeno due gestori di password online che sono software libero:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Entrambi sembrano abbastanza buoni (non li ho ancora usati).

L'unica caratteristica mancante, per quanto posso dire, è la possibilità di aggiungere una password senza avere un account (se ti ho capito correttamente).

Questo non dovrebbe essere troppo difficile da aggiungere, tuttavia, quindi potrebbe avere senso costruire su uno di questi prodotti. Questo è il punto del software libero, dopo tutto :-).

Un modo sarebbe implementare una funzione che ti consenta di limitare un utente all'aggiunta di nuove password. Quindi potresti semplicemente creare un utente "addpassword" con password predefinita (o vuota) e inviarlo ai client (o implementare una funzione per creare un URI che ti preautentichi, così puoi semplicemente inviare un link). Dovrebbe funzionare ed essere sicuro ...

Una soluzione che ho trovato (solo per ottenere le password) è di crittografarlo in javascript, recuperare i dati crittografati (via e-mail / browser) e quindi decrittografarli manualmente in locale (quindi i dati non crittografati non viaggiano mai non garantiti). Non è raffinato, ma essenzialmente sarebbe lo stesso con il client che crittografa e invia la password - solo loro potrebbero farlo semplicemente in un modulo web.

Ecco un esempio .

Ho trovato LastPass un meraviglioso gestore di password per le mie password. Dai un'occhiata all'elenco delle funzionalità .

Anche se sono anche alla ricerca del migliore (ma economico) degno gestore di password aziendali .