Webベースの(および暗号化された)パスワード/ライセンス/ etcデータベース[終了]

9

コンサルタント/契約プログラマーとして使用している多くの資格情報を保存するシステムを探しています。デスクトップでの使用にKeePassまたは同様のもの、またはWebベース(クライアント側の暗号化)のパスワードストレージにPassPackのようなものを使用できることはわかっていますが、機密データが暗号化された各クライアント/プロジェクト用の「ノートブック」をEvernoteで作成することもできます-私が探しているのは、以下を提供するサービスです。

  • さまざまな認証情報(WPAキー、ソフトウェアライセンス、Amazon APIキー)の保存。
  • サインアップを強制せずに、資格情報を要求する安全な方法。

さまざまなデータパスワードとして保存しても大丈夫でしょう。重要なのはデータ取得することです。PassPackには「共有」インターフェースがありますが、クライアントにサインアップを強制します。公開/秘密キーの暗号化を簡素化して、クライアントに「電子メールで通知せず、___。com / tjlytleにアクセスしてフォームに入力するだけ」と伝えることができるものを探しています。

どんなサイトを見逃したことがありますか?

untagged 
ティム・ライトル
ソース
1
私はこれを自分自身、クライアント、従業員、パートナーのために構築しています。誰も答えない場合、ビジネスの準備は整っていると思います...
Devin Ceartas
@Devinええ、それは私が考えていることです。私は何かを書く前に既存の解決策を探しています。あなたはどれくらい進んでいますか?
Tim Lytle、
私が指摘したように、ここに投稿した後、スーパーユーザー(superuser.com/questions/255/…)に関連する投稿を見つけましたが、探している「リクエスト」機能で何も見つかりませんでした。
Tim Lytle
@Devin PassPackの暗号化ライブラリはオープンソースですが、Clipperzのシステム全体が開いています(clipperz.com/open_source/clipperz_community_edition)。
Tim Lytle
これは別のJSライブラリ(pidder.com/pidcrypt)で、別のWebベースのパスワード管理サイトの一部のようです。ライブラリはRSA(パスパックはAESを使用)をサポートしているため、パブリック/プライベートの「パスワードの送信」に取り組んでいる可能性があります。
Tim Lytle、

回答:

3

過去に「マネージドサービス」の会社で働いたことがあるので、このようなものを探しましたが、見つかりませんでした。自分のビジネスを始めてから、そんなことを書く時間や気力はありませんでしたが、市場は確かにあります。1人以上のIT組織内での内部使用にも間違いなく便利です。

「パスワードセーフ」など、強力な(または任意の)監査メカニズムのないものを使用して、あまりにも多くの悪質な「ソリューション」を見てきました。誰かが会社を辞めたときに、「安全」にすべてのパスワードを変更するのは大変なことです。きめ細かいアクセスメカニズムと監査証跡を使用して、サーバー側に保存されたパスワードを保持することで、このような事態が発生しやすくなります。

私が欲しい機能は次のとおりです。

  • 監査証跡を生成できるように、データベースに対する個々のユーザーの認証。理想的には、認証システムはプレーンオールHTTP認証を使用します。

  • 「サインアップなしのアクセス」(「リクエスト」機能)は、一意のURLを「ショートカット」として使用して、単一のパスワードにアクセスできる特定の資格情報の認証をバイパスするように聞こえます。それは実装するのがかなり簡単に聞こえます。その1回限りの使用の資格情報を作成する場合、資格情報が作成された理由(レポート用)を説明する何らかのメタデータが必要です。

  • 誰かが退職したときに必要なパスワードのみを変更できるように、どのユーザーがどのパスワードにアクセスしたかを示すレポート。データがデータベースのバックエンドにあると、これは簡単です。

  • パスワードの有効期限。これらを使用して、自動パスワードローテーションとシステムへの新しいパスワードのチェックインを実行するスクリプトを実行します。多くの場合、サービスアカウントのパスワードのように、オペレーティングシステムのパスワードエージング要件の対象にしたくないものがありますが、同時にパスワードを時々変更してもらいたいです。

SSLですべてラップされたWeb CRUDインターフェイスを備えたデータベースバックエンドは、このために正常に動作するはずです。

それは何かを素早くて汚いものにするためにあまり多くの仕事ではないはずですが、それを本当に洗練されてきれいにすること(素晴らしいクライアントAPIで)はおそらくいくつかの仕事でしょう。

エヴァン・アンダーソン
ソース
かなり堅牢なシステムのように思えますが、私は(コンサルタントとして)シングルユーザーシステムを探しているだけですが、機能リストははるかに包括的です。リクエスト機能については、パスワードへの1回限りのアクセスではなく、パスワードを追加する機能を探しています。したがって、クライアントはパスワードやその目的などを入力し、それを私の公開鍵で暗号化して、資格情報を安全な方法で「送信」することができます(確かに、暗号化された電子メールを送信できます) 、しかし私は彼らのためにシンプルなものを探しています)。
Tim Lytle
ああ!リクエスト機能を誤解しました。あなたが説明していること、データベースにパスワードを入力できることも、とても便利に聞こえます!私が物事を読んだら、それが役立つと思いますか?> smile <
エヴァン・アンダーソン
補足:BSDスタイルまたはGPLスタイルのライセンスのいずれかでそのようなものを開発した人に500ドルを投入してもかまいません。興味のある方はオフラインで私に連絡してください。要件ドキュメントの作成と作業の契約について話し合うことができます。
エヴァンアンダーソン
2

私たちは前述のpidCryptライブラリをpidder(https://www.pidder.com)で使用します。これは、シークレット(パスワード、メッセージ、ID情報など)を安全に管理および共有することに重点を置いたWebベースのプラットフォームです。

優先度はほとんどありませんが、todoリストには既に「ドロップボックス」機能があり、今後のリリースが予定されています。この質問に遭遇した後、今年後半にオープンベータの開始時にそれを実装することを決定しました。

そのため、主な機能には登録が必要ですが、ドロップボックスのURLを知っていれば誰でも登録ユーザーに暗号化されたメッセージを送信できる「ドロップボックス」も登場します。

ヨナ
ソース
とにかくプライベートベータに参加しますか?
Tim Lytle、
@Tim確かに、ただで与えられたアドレス宛に電子メールをお送りpidder.com/en/impressum.html
ヨナ
非常によく見えます-ドロップボックスを入手したら、私が探していたものとほぼ同じになります。
Tim Lytle、
@ティム:Dropboxは現在利用可能であり、ピダーはオープンベータ版です。ご意見をお聞かせください。
ジョナ
1

フリーソフトウェアであるオンラインパスワードマネージャーが少なくとも2つあります。

W3PW

http://w3pw.sourceforge.net/

クリッパーズ

http://www.clipperz.com/open_source/clipperz_community_edition

どちらもかなり見栄えがよい(まだ使用していない)。

私が知る限り、欠けている唯一の機能は、アカウントを持たなくてもパスワードを追加できることです(私が正しく理解していれば)。

ただし、これを追加するのはそれほど難しくないはずです。そのため、これらの製品の1つをベースに構築することは理にかなっています。それが結局のところ、フリーソフトウェアのポイントです:-)。

1つの方法は、ユーザーを制限して新しいパスワードを追加する機能を実装することです。次に、デフォルトの(または空の)パスワードを使用して「addpassword」ユーザーを作成し、それをクライアントに送信します(または、事前認証するURIを作成する機能を実装して、リンクを送信できます)。それは機能し、安全でなければなりません...

sleske
ソース
0

(パスワードを取得するための)私が見つけた1つの解決策は、JavaScriptで暗号化し、暗号化されたデータを(電子メール/ブラウザー経由で)取得し、手動でローカルに復号化することです(そのため、暗号化されていないデータが安全に移動することはありません)。洗練されていませんが、クライアントにパスワードを暗号化して送信させるのと基本的に同じです。Webフォームでのみ実行できます。

ここに例があります。

ティム・ライトル
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.