Webbasierte (und verschlüsselte) Passwort- / Lizenz- / usw.-Datenbank [geschlossen]

9

Auf der Suche nach einem System zum Speichern der vielen Anmeldeinformationen, die ich als Berater / Vertragsprogrammierer verwende. Obwohl ich weiß, dass ich KeePass oder ähnliches für die Desktop-Verwendung oder PassPack für die webbasierte (clientseitige Verschlüsselung) Kennwortspeicherung verwenden kann, kann sogar Evernote verwendet werden, um für jeden Client / jedes Projekt ein Notizbuch mit verschlüsselten vertraulichen Daten zu erstellen. Was ich suche, ist ein Service, der bietet:

  • Speicherung verschiedener Anmeldeinformationen (WPA-Schlüssel, Softwarelizenzen, Amazon API-Schlüssel).
  • Sichere Möglichkeit, Anmeldeinformationen anzufordern , ohne eine Anmeldung zu erzwingen.

Ich wäre wahrscheinlich damit einverstanden, verschiedene Daten als Passwörter zu speichern - das Wichtigste ist , die Daten zu erhalten. Während PassPack über eine Freigabeschnittstelle verfügt, werden Clients gezwungen, sich anzumelden. Ich suche nach etwas, das die Verschlüsselung mit öffentlichen / privaten Schlüsseln vereinfacht, damit ich einem Kunden mitteilen kann: "Senden Sie mir keine E-Mails, gehen Sie einfach zu ___.com/tjlytle und füllen Sie das Formular aus."

Habe ich verpasst, welche Seite das tut?

untagged Tim Lytle
quelle
1
Ich baue dies für mich und meine Kunden sowie für Mitarbeiter und Partner auf. Wenn niemand antwortet, ist wohl ein Geschäft bereit ...
Devin Ceartas
@Devin Ja, das ist, was ich denke, ich suche nur nach einer vorhandenen Lösung, bevor ich versuche, etwas zu schreiben. Wie weit bist du?
Tim Lytle
Ich dachte nur, ich würde darauf hinweisen, habe nach dem Posten hier einen verwandten Beitrag über Superuser ( superuser.com/questions/255/… ) gefunden, aber nichts mit der von mir gesuchten Funktion "Anfrage" gesehen.
Tim Lytle
Die Kryptobibliotheken von @Devin PassPack sind Open Source, aber das gesamte Clipperz-System ist offen ( clipperz.com/open_source/clipperz_community_edition ). Vielleicht ist das ein guter Ausgangspunkt?
Tim Lytle
Hier ist eine weitere JS-Bibliothek ( pidder.com/pidcrypt ), die Teil einer anderen webbasierten Website zur Kennwortverwaltung zu sein scheint. Da die Bibliothek RSA unterstützt (Passpack verwendet AES), arbeiten sie möglicherweise am öffentlichen / privaten "Passwort senden".
Tim Lytle

Antworten:

3

Nachdem ich in der Vergangenheit für "Managed Services" -Firmen gearbeitet habe, habe ich nach so etwas gesucht, es aber nie gefunden. Ich hatte weder die Zeit noch die Neigung, so etwas zu schreiben, seit ich mein eigenes Unternehmen gegründet habe, aber es gibt definitiv einen Markt dafür. Es wäre definitiv praktisch für den internen Gebrauch in einer IT-Organisation mit mehr als einer Person.

Ich habe zu viele kluge "Lösungen" gesehen, die Dinge wie "Password Safe" verwenden, die keine starken (oder keine) Prüfmechanismen haben. Es ist ein großer Schmerz, alle Passwörter im "Safe" zu ändern, wenn jemand das Unternehmen verlässt. Die serverseitige Speicherung der Kennwörter mit detaillierten Zugriffsmechanismen und einem Prüfpfad würde das Leben in einem solchen Fall erheblich erleichtern.

Zu den Funktionen, die ich möchte, gehören:

  • Authentifizierung für einzelne Benutzer bei der Datenbank, sodass ein Prüfpfad generiert werden kann. Idealerweise würde das Authentifizierungssystem eine einfache HTTP-Authentifizierung verwenden.

  • Ihr "Zugriff ohne Anmeldung" ("Anforderungs" -Funktion) klingt so, als würden Sie eine eindeutige URL als "Verknüpfung" verwenden, um die Authentifizierung für einen bestimmten Berechtigungsnachweis zu umgehen, der auf ein einzelnes Kennwort zugreifen kann. Das klingt ziemlich einfach zu implementieren. Wenn Sie diesen einmaligen Berechtigungsnachweis erstellen, sollten Sie über Metadaten verfügen, um zu beschreiben, warum der Berechtigungsnachweis erstellt wurde (für die Berichterstellung).

  • Berichte, aus denen hervorgeht, auf welche Kennwörter von welchen Benutzern zugegriffen wurde, damit nur die erforderlichen Kennwörter geändert werden können, wenn jemand das Unternehmen verlässt. Sobald sich die Daten in einem Datenbank-Backend befinden, ist dies einfach.

  • Ablaufdatum des Passworts. Ich würde diese verwenden, um Skripte zu steuern, um eine automatische Kennwortrotation und das Einchecken neuer Kennwörter in das System durchzuführen. Oft habe ich Dinge wie Dienstkontokennwörter, die nicht den Anforderungen an die Kennwortalterung des Betriebssystems unterliegen sollen, aber gleichzeitig möchte ich, dass die Kennwörter von Zeit zu Zeit geändert werden.

Ein Datenbank-Backend mit einer Web-CRUD-Schnittstelle, die alle in SSL verpackt sind, sollte hierfür einwandfrei funktionieren.

Es sollte nicht zu viel Arbeit sein, etwas schnell und schmutzig zusammenzuschlagen, aber es wirklich poliert und sauber zu machen (mit einer netten Client-API), wäre wahrscheinlich etwas Arbeit.

Evan Anderson
quelle
Klingt nach einem ziemlich robusten System, während ich nur nach einem Einzelbenutzersystem (als Berater) suche, ist Ihre Funktionsliste viel umfassender. Über die Anforderungsfunktion suche ich keinen einmaligen Zugriff auf ein Passwort, sondern nur die Möglichkeit, ein Passwort hinzuzufügen . Ein Client kann also das Passwort eingeben, wofür es bestimmt ist usw. und dieses dann mit meinem öffentlichen Schlüssel verschlüsseln lassen, damit er mir die Anmeldeinformationen auf sichere Weise "sendet" (sicher, er könnte mir eine verschlüsselte E-Mail senden , aber ich suche etwas Einfaches für sie).
Tim Lytle
Oh! Ich habe Ihre Anforderungsfunktion falsch verstanden. Was Sie beschreiben, ein Passwort in die Datenbank einfügen zu können, klingt auch sehr praktisch! Ich denke, es würde helfen, wenn ich Dinge lese, oder? > Lächeln <
Evan Anderson
Eine Randnotiz: Ich wäre bereit, jemandem 500 Dollar zu geben, der so etwas mit einer Lizenz im BSD- oder GPL-Stil entwickelt hat. Alle Interessierten sollten mich offline kontaktieren und wir können über die Erstellung eines Anforderungsdokuments und eines Vertrags für die Arbeit sprechen.
Evan Anderson
2

Wir verwenden unsere oben genannte pidCrypt-Bibliothek in pidder ( https://www.pidder.com ) - einer webbasierten Plattform, die sich darauf konzentriert, Geheimnisse (Passwörter, Nachrichten, Identitätsinformationen usw.) sicher zu verwalten und weiterzugeben .

Wir hatten bereits eine "Dropbox" -Funktion auf unserer ToDo-Liste, wenn auch mit geringer Priorität und für eine spätere Veröffentlichung geplant. Nachdem wir über diese Frage gestolpert waren, beschlossen wir, sie zu Beginn unserer offenen Beta später in diesem Jahr implementieren zu lassen.

Während für die Hauptfunktionen eine Registrierung erforderlich ist, wird es auch eine "Dropbox" geben, in der jeder verschlüsselte Nachrichten an einen registrierten Benutzer senden kann, sofern er seine Dropbox-URL kennt.

Jona
quelle
Wie auch immer, um in die private Beta einzusteigen?
Tim Lytle
@ Tim Sicher, senden Sie uns einfach eine E-Mail an die Adresse unter pidder.com/de/impressum.html
Jonah
Sieht sehr gut aus - sobald Sie die Dropbox haben, wird es so ziemlich das sein, wonach ich gesucht habe.
Tim Lytle
@ Tim: Dropbox ist jetzt verfügbar und Pidder ist Open Beta. Lassen Sie uns wissen, was Sie denken.
Jonah
1

Es gibt mindestens zwei Online-Passwort-Manager, bei denen es sich um freie Software handelt:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Beide sehen ganz gut aus (haben sie noch nicht benutzt).

Die einzige fehlende Funktion ist, soweit ich das beurteilen kann, die Möglichkeit, ein Passwort ohne Konto hinzuzufügen (wenn ich Sie richtig verstanden habe).

Dies sollte jedoch nicht zu schwer hinzuzufügen sein, sodass es möglicherweise sinnvoll ist, auf einem dieser Produkte aufzubauen. Das ist schließlich der Punkt der freien Software :-).

Eine Möglichkeit wäre die Implementierung einer Funktion, mit der Sie einen Benutzer auf das Hinzufügen neuer Kennwörter beschränken können. Dann können Sie einfach einen "addpassword" -Benutzer mit einem Standardkennwort (oder einem leeren Kennwort) erstellen und dieses an Clients senden (oder eine Funktion implementieren, um einen URI zu erstellen, der Sie vorauthentifiziert, sodass Sie einfach einen Link senden können). Das sollte funktionieren und sicher sein ...

sleske
quelle
0

Eine Lösung, die ich gefunden habe (nur um die Passwörter zu erhalten), besteht darin, sie in Javascript zu verschlüsseln, die verschlüsselten Daten abzurufen (per E-Mail / Browser) und sie dann manuell lokal zu entschlüsseln (damit die unverschlüsselten Daten niemals ungesichert übertragen werden). Es ist nicht poliert, aber es wäre im Wesentlichen dasselbe, als würde der Client das Passwort verschlüsseln und senden - nur sie könnten es einfach in einem Webformular tun.

Hier ist ein Beispiel .

Tim Lytle
quelle