Сетевой (и зашифрованный) пароль / лицензия / база данных и т. Д. [Закрыто]

9

Ищу систему для хранения многих учетных данных, которые я использую как консультант / контрактный программист. Хотя я знаю, что могу использовать KeePass или аналогичный для настольных ПК или что-то вроде PassPack для хранения паролей на основе веб-интерфейса (шифрование на стороне клиента), даже Evernote можно использовать для создания «записной книжки» для каждого клиента / проекта с зашифрованными конфиденциальными данными - я ищу сервис, который предоставляет:

  • Хранение различных учетных данных (ключи WPA, лицензии на программное обеспечение, ключи Amazon API).
  • Безопасный способ запрашивать учетные данные, без принудительной регистрации.

Я бы, наверное, согласился с хранением различных данных в качестве паролей - важнее всего получать данные. В то время как PassPack имеет интерфейс «общего доступа», это заставит клиентов зарегистрироваться. Я ищу что-то, что упрощает шифрование с открытым / закрытым ключом, чтобы я мог сказать клиенту: «Не посылайте это мне по электронной почте, просто зайдите на ___.com/tjlytle и заполните форму».

Я пропустил какой сайт это делает?

untagged Тим Лайтл
источник
1
Я создаю это для себя, своих клиентов, сотрудников и партнеров; если никто не отвечает, я думаю, что бизнес готов случиться ...
Девин Сеартас
@ Девин Да, это то, что я думаю, я просто ищу существующее решение, прежде чем попытаться что-то написать. Как далеко вы?
Тим Литл
Просто подумал, что укажу, нашел соответствующую запись о суперпользователе ( superuser.com/questions/255/… ) после публикации здесь, но ничего не увидел с нужной мне функцией «запрос».
Тим Литл
Криптографические библиотеки @Devin PassPack с открытым исходным кодом, но вся система Clipperz открыта ( clipperz.com/open_source/clipperz_community_edition ), может быть, это хорошая отправная точка ?
Тим Литл
Вот еще одна библиотека JS ( pidder.com/pidcrypt ), и она, похоже, является частью другого веб-сайта управления паролями. Поскольку библиотека поддерживает RSA (passpack использует AES), они могут работать с публичным / приватным «отправить пароль».
Тим Литл

Ответы:

3

Проработав в прошлом в фирмах «управляемых услуг», я искал что-то подобное, но так и не нашел. У меня не было времени или желания писать такие вещи с самого начала своего бизнеса, но определенно есть рынок для этого. Это определенно было бы удобно для внутреннего использования в ИТ-организации, состоящей более чем из 1 человека.

Я видел слишком много «решений» kluged, использующих такие вещи, как «Password Safe», которые не имеют сильных (или каких-либо) механизмов аудита. Очень сложно менять все пароли в «сейфе», когда кто-то покидает компанию. Хранение паролей на стороне сервера с детализированными механизмами доступа и контрольным журналом значительно облегчит жизнь в такой ситуации.

Особенности, которые я хотел бы включить:

  • Аутентификация отдельных пользователей в базе данных так, что может быть создан контрольный журнал. В идеале система аутентификации должна использовать обычную HTTP-аутентификацию.

  • Ваш «доступ без регистрации» («запрос») похож на использование уникального URL-адреса в качестве «ярлыка» для обхода проверки подлинности для определенных учетных данных, которые могут получить доступ к одному паролю. Это звучит довольно просто для реализации. Когда вы создаете эти одноразовые учетные данные, у вас должны быть какие-то метаданные, чтобы описать, почему учетные данные были созданы (для составления отчетов).

  • Отчеты, показывающие, какие пароли были доступны тем или иным пользователям, чтобы разрешить изменять только необходимые пароли, когда кто-то покидает компанию. Как только данные находятся в базе данных, это легко.

  • Срок действия пароля. Я бы использовал их для запуска сценариев для автоматического ротации паролей и регистрации новых паролей в системе. Часто у меня есть такие вещи, как пароли служебных учетных записей, на которые я не хочу распространяться требования устаревания паролей операционной системы, но в то же время я хотел бы, чтобы пароли менялись один раз в какое-то время.

Серверная часть базы данных с веб-интерфейсом CRUD, полностью обернутая в SSL, должна нормально работать для этого.

Не должно быть слишком много работы, чтобы собрать что-то быстрое и грязное, но сделать его действительно отполированным и чистым (с хорошим клиентским API), вероятно, было бы трудом.

Эван Андерсон
источник
Похоже, довольно надежная система, в то время как я просто ищу однопользовательскую систему (в качестве консультанта), ваш список функций гораздо более полный. Что касается функции запроса, я не ищу одноразовый доступ к паролю, просто возможность добавить пароль. Таким образом, клиент может ввести пароль, для чего он и т. Д., А затем зашифровать его с помощью моего открытого ключа, чтобы они «отправляли» мне учетные данные безопасным способом (конечно, они могли бы отправить мне зашифрованное электронное письмо , но я ищу что-то простое для них).
Тим Литл
Ой! Я неправильно понял вашу функцию запроса. То, что вы описываете, возможность ввести пароль в базу данных, также звучит очень удобно! Думаю, это поможет, если я прочитаю что-нибудь, а? > улыбка <
Эван Андерсон
Дополнительное примечание: я был бы готов бросить 500 долларов тому, кто разработал такую ​​вещь с лицензией в стиле BSD или GPL. Любой заинтересованный должен связаться со мной в автономном режиме, и мы можем поговорить о выполнении требований документа и контракта на работу.
Эван Андерсон,
2

Мы используем нашу вышеупомянутую библиотеку pidCrypt в pidder ( https://www.pidder.com ) - веб-платформе, которая ориентирована на безопасное управление и обмен секретами (паролями, сообщениями, идентификационной информацией и т. Д.).

У нас уже была функция «dropbox» в нашем списке задач, хотя и с небольшим приоритетом и запланированная на более поздний выпуск. Наткнувшись на этот вопрос, мы решили внедрить его в начале нашего открытого бета-тестирования позже в этом году.

Таким образом, в то время как основные функции потребуют регистрации, также будет «Dropbox», где любой может отправлять зашифрованные сообщения зарегистрированному пользователю, если они знают его или ее URL-адрес Dropbox.

Ион
источник
В любом случае, чтобы войти в частную бета-версию?
Тим Литл
@Tim Конечно, просто отправьте нам письмо по адресу, указанному на pidder.com/en/impressum.html
Иона
Выглядит очень хорошо - как только вы получите Dropbox, это будет в значительной степени то, что я искал.
Тим Литл
@Tim: Dropbox доступен уже сейчас, а pidder - открытая бета-версия. Сообщите нам свое мнение.
Иона
1

Существует как минимум два онлайн-менеджера паролей, которые являются бесплатными:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Оба выглядят довольно хорошо (еще не использовали их).

Насколько я могу судить, единственная отсутствующая функция - это возможность добавить пароль без учетной записи (если я вас правильно понял).

Это не должно быть слишком сложным, чтобы добавить один из этих продуктов. В конце концов, в этом и заключается смысл свободного программного обеспечения :-).

Один из способов - реализовать функцию, позволяющую ограничивать добавление новых паролей пользователю. Затем вы можете просто создать пользователя «addpassword» с паролем по умолчанию (или пустым) и отправить его клиентам (или реализовать функцию для создания URI, который предварительно аутентифицирует вас, поэтому вы можете просто отправить ссылку). Это должно работать и быть в безопасности ...

sleske
источник
0

Одно из решений, которое я нашел (просто для получения паролей), - это зашифровать его в javascript, извлечь зашифрованные данные (через электронную почту или браузер), а затем вручную дешифровать их локально (чтобы незашифрованные данные никогда не перемещались без защиты). Это не полируется, но по сути это будет то же самое, что шифрование клиента и отправка пароля - только они могут сделать это просто в веб-форме.

Вот пример .

Тим Лайтл
источник