Internetowe (i zaszyfrowane) hasło / licencja / baza danych itp. [Zamknięte]

9

Poszukuję systemu do przechowywania wielu danych uwierzytelniających, których używam jako konsultant / programista kontraktowy. Chociaż wiem, że mogę używać KeePass lub podobnego do użytku na komputerze lub czegoś takiego jak PassPack do przechowywania haseł w sieci (szyfrowanie po stronie klienta), nawet Evernote może zostać użyty do stworzenia „notatnika” dla każdego klienta / projektu z zaszyfrowanymi wrażliwymi danymi - szukam usługi, która zapewnia:

  • Przechowywanie różnych danych uwierzytelniających (klucze WPA, licencje na oprogramowanie, klucze Amazon API).
  • Bezpieczny sposób żądania poświadczeń bez wymuszania rejestracji.

Prawdopodobnie nie miałbym nic przeciwko przechowywaniu różnych danych jako haseł - najważniejszą rzeczą jest uzyskiwanie danych. Chociaż PassPack ma interfejs „udostępniania”, zmusiłby klientów do rejestracji. Szukam czegoś, co uprości szyfrowanie kluczem publicznym / prywatnym, abym mógł powiedzieć klientowi: „Nie wysyłaj mi tego e-mailem, po prostu przejdź na stronę ___.com/tjlytle i wypełnij formularz”.

Czy przegapiłem jakąkolwiek stronę, która to robi?

untagged Tim Lytle
źródło
1
Buduję to dla siebie, moich klientów, pracowników i partnerów; jeśli nikt nie odpowie, myślę, że jest biznes gotowy ...
Devin Ceartas
@Devin Tak, właśnie o tym myślę, szukam tylko istniejącego rozwiązania, zanim spróbuję coś napisać. Jak daleko jesteś?
Tim Lytle,
Pomyślałem, że zwrócę uwagę, znalazłem pokrewny post na superużytkowniku ( superuser.com/questions/255/... ), po opublikowaniu tutaj, ale nie widziałem nic z funkcją „prośby”, której szukam.
Tim Lytle,
Biblioteki kryptograficzne Devina PassPacka są otwarte, ale cały system Clipperz jest otwarty ( clipperz.com/open_source/clipperz_community_edition ), może to dobre miejsce startowe?
Tim Lytle,
Oto kolejna biblioteka JS ( pidder.com/pidcrypt ) i wydaje się ona być częścią innej internetowej witryny do zarządzania hasłami. Ponieważ biblioteka obsługuje RSA (passpack używa AES), mogą one pracować nad publicznym / prywatnym „wysyłaniem hasła”.
Tim Lytle,

Odpowiedzi:

3

Pracowałem w przeszłości dla firm zarządzających usługami, szukałem czegoś takiego, ale nigdy tego nie znalazłem. Od czasu założenia własnej firmy nie miałem czasu ani ochoty na pisanie takich rzeczy, ale na pewno jest na to rynek. Zdecydowanie przydałby się również do użytku wewnętrznego w organizacji IT większej niż 1 osoba.

Widziałem zbyt wiele „klarownych” rozwiązań wykorzystujących takie rzeczy, jak „Bezpieczne hasło”, które nie mają silnych (ani żadnych) mechanizmów kontroli. Zmiana wszystkich haseł w „sejfie”, gdy ktoś odchodzi z firmy, jest ogromnym problemem. Przechowywanie haseł przechowywanych po stronie serwera za pomocą mechanizmów dostępu szczegółowego i ścieżki audytu ułatwiłoby życie w takiej sytuacji.

Funkcje, które chciałbym obejmować:

  • Uwierzytelnianie poszczególnych użytkowników w bazie danych w celu wygenerowania ścieżki audytu. Najlepiej byłoby, gdyby system uwierzytelniania używał zwykłego uwierzytelniania HTTP.

  • Twój „dostęp bez rejestracji” (funkcja „żądania”) brzmi jak użycie unikalnego adresu URL jako „skrótu” do ominięcia uwierzytelnienia dla danych uwierzytelniających, które mogą uzyskać dostęp do jednego hasła. To brzmi dość prosto do wdrożenia. Podczas tworzenia tego jednorazowego poświadczenia powinieneś mieć jakieś metadane opisujące, dlaczego poświadczenie zostało utworzone (na potrzeby raportowania).

  • Raporty pokazujące, do jakich haseł uzyskali dostęp użytkownicy, którzy zezwalają na zmianę tylko haseł niepotrzebnych, gdy ktoś odchodzi z firmy. Gdy dane znajdą się w zapleczu bazy danych, jest to łatwe.

  • Terminy ważności hasła. Używałbym ich do uruchamiania skryptów w celu automatycznego obracania haseł i odpisywania nowych haseł do systemu. Często mam takie hasła, jak hasła do kont serwisowych, których nie chcę podlegać wymaganiom starzenia się haseł systemu operacyjnego, ale jednocześnie chciałbym, aby hasła były zmieniane raz na jakiś czas.

Back-end bazy danych z interfejsem web CRUD opakowanym w SSL powinien w tym celu dobrze działać.

Nie powinno być zbyt wiele pracy, aby połączyć coś szybkiego i brudnego, ale sprawienie, by było naprawdę dopracowane i czyste (z ładnym interfejsem API klienta) prawdopodobnie będzie trochę pracy.

Evan Anderson
źródło
Brzmi jak dość solidny system, podczas gdy szukam tylko systemu dla jednego użytkownika (jako konsultant), twoja lista funkcji jest znacznie bardziej wyczerpująca. Jeśli chodzi o funkcję żądania, nie szukam jednorazowego dostępu do hasła, tylko możliwość dodania hasła. Aby klient mógł wpisać hasło, do czego służy, itp., A następnie zaszyfrować moim kluczem publicznym, aby „przesłał” mi poświadczenia w bezpieczny sposób (pewnie, mógłby wysłać mi zaszyfrowaną wiadomość e-mail , ale szukam dla nich czegoś prostego).
Tim Lytle,
O! Źle zrozumiałem twoją funkcję żądania. To, co opisujesz, możliwość wprowadzenia hasła do bazy danych, również wydaje się bardzo przydatne! Myślę, że to pomogłoby, gdybym coś przeczytał, co? > uśmiech <
Evan Anderson
Dodatkowa uwaga: chciałbym rzucić 500 $ komuś, kto opracował coś takiego z licencją w stylu BSD lub GPL. Każdy zainteresowany powinien skontaktować się ze mną offline, abyśmy mogli porozmawiać o sporządzeniu dokumentu wymagań i umowy o dzieło.
Evan Anderson
2

Korzystamy z naszej wyżej wspomnianej biblioteki pidCrypt w pidder ( https://www.pidder.com ) - platformie internetowej, która koncentruje się na bezpiecznym zarządzaniu i udostępnianiu tajemnic (haseł, wiadomości, informacji o tożsamości itp.).

Na naszej liście rzeczy do zrobienia mieliśmy już funkcję „dropbox”, choć z niewielkim priorytetem i zaplanowaną na późniejsze wydanie. Po napotkaniu tego pytania, zdecydowaliśmy się na jego wdrożenie na początku naszej otwartej wersji beta jeszcze w tym roku.

Tak więc, chociaż główne funkcje będą wymagały rejestracji, pojawi się również „dropbox”, w którym każdy może wysyłać zaszyfrowane wiadomości do zarejestrowanego użytkownika, pod warunkiem, że zna jego adres URL.

Jonasz
źródło
W każdym razie, aby dostać się na prywatną wersję beta?
Tim Lytle,
@ Tim Pewnie, po prostu wyślij nam e-mail na adres podany na pidder.com/en/impressum.html
Jonah
Wygląda bardzo dobrze - kiedy już będziesz mieć skrzynkę, będzie to prawie to, czego szukałem.
Tim Lytle,
@Tim: Dropbox jest już dostępny, a pidder jest w wersji beta. Pozwól nam wiedzieć co myślisz.
Jonah
1

Istnieją co najmniej dwa menedżery haseł online, które są wolnym oprogramowaniem:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Oba wyglądają całkiem dobrze (jeszcze ich nie użyłem).

O ile wiem, jedyną brakującą funkcją jest możliwość dodania hasła bez posiadania konta (jeśli dobrze cię zrozumiałem).

Nie powinno to być zbyt trudne do dodania, więc warto oprzeć się na jednym z tych produktów. W końcu o to chodzi w wolnym oprogramowaniu :-).

Jednym ze sposobów byłoby zaimplementowanie funkcji, która pozwala ograniczyć użytkownikowi dodawanie nowych haseł. Następnie możesz po prostu utworzyć użytkownika „addpassword” z domyślnym (lub pustym) hasłem i wysłać go do klientów (lub zaimplementować funkcję tworzenia identyfikatora URI, który wstępnie uwierzytelni cię, abyś mógł po prostu wysłać link). To powinno działać i być bezpieczne ...

Śleske
źródło
0

Jednym z rozwiązań, które znalazłem (w celu uzyskania haseł) jest zaszyfrowanie w javascript, odzyskanie zaszyfrowanych danych (przez e-mail / przeglądarkę), a następnie ręczne odszyfrowanie ich lokalnie (aby niezaszyfrowane dane nigdy nie były niezabezpieczone). Nie jest dopracowany, ale w zasadzie byłby taki sam, jak szyfrowanie i wysyłanie hasła przez klienta - tylko oni mogliby to zrobić po prostu w formie internetowej.

Oto przykład .

Tim Lytle
źródło