Contraseña / licencia / base de datos basada en web (y cifrada) Etc [cerrado]

9

Buscando un sistema para almacenar las credenciales que uso como consultor / programador de contratos. Si bien sé que podría usar KeePass o similar para uso de escritorio, o algo así como PassPack para el almacenamiento de contraseñas basado en la web (cifrado del lado del cliente), incluso Evernote podría usarse para crear un 'cuaderno' para cada cliente / proyecto con los datos confidenciales cifrados: lo que busco es un servicio que brinde:

  • Almacenamiento de diferentes credenciales (claves WPA, licencias de software, claves API de Amazon).
  • Forma segura de solicitar credenciales, sin forzar un registro.

Probablemente estaría de acuerdo con almacenar varios datos como contraseñas; lo importante es obtener los datos. Si bien PassPack tiene una interfaz de 'intercambio', obligaría a los clientes a registrarse. Estoy buscando algo que simplifique el cifrado de clave pública / privada para poder decirle a un cliente: "No me lo envíe por correo electrónico, solo vaya a ___.com/tjlytle y complete el formulario".

¿Me he perdido el sitio que hace eso?

untagged Tim Lytle
fuente
1
Estoy construyendo esto para mí y mis clientes y empleados y socios; Si nadie responde Creo que hay una empresa dispuesta a pasar ...
Devin Ceartas
@Devin Sí, eso es lo que estoy pensando, solo estoy buscando una solución existente antes de intentar escribir algo. ¿Qué tan lejos estás?
Tim Lytle
Solo pensé en señalarlo, encontré una publicación relacionada con el superusuario ( superuser.com/questions/255/… ), después de publicar aquí, pero no vi nada con la función 'solicitud' que estaba buscando.
Tim Lytle el
Las bibliotecas criptográficas de @Devin PassPack son de código abierto, pero todo el sistema Clipperz está abierto ( clipperz.com/open_source/clipperz_community_edition ), ¿tal vez sea un buen punto de partida?
Tim Lytle
Aquí hay otra biblioteca JS ( pidder.com/pidcrypt ), y parece ser parte de otro sitio web de administración de contraseñas. Dado que la biblioteca admite RSA (passpack usa AES), pueden estar trabajando en el 'envío de una contraseña' pública / privada.
Tim Lytle

Respuestas:

3

Después de haber trabajado para empresas de "servicios administrados" en el pasado, busqué algo como esto pero nunca lo encontré. No he tenido tiempo ni ganas de escribir algo así desde que comencé mi propio negocio, pero definitivamente hay un mercado para ello. Definitivamente, también sería útil para uso interno dentro de una organización de TI de más de 1 persona.

He visto demasiadas "soluciones" agotadas que usan cosas como "Password Safe" que no tienen mecanismos de auditoría fuertes (o ninguno). Es muy difícil cambiar todas las contraseñas de la "caja fuerte" cuando alguien deja la empresa. Mantener las contraseñas almacenadas en el lado del servidor con mecanismos de acceso granular y una pista de auditoría facilitaría la vida en tal caso.

Las características que me gustaría incluir son:

  • Autenticación para usuarios individuales de la base de datos de modo que se pueda generar un seguimiento de auditoría. Idealmente, el sistema de autenticación usaría la autenticación HTTP simple.

  • Su "acceso sin registro" (función "solicitud") suena como el uso de una URL única como "acceso directo" para omitir la autenticación de una credencial dada que puede acceder a una sola contraseña. Eso suena bastante sencillo de implementar. Cuando crea esa credencial de uso único, debe tener algún tipo de metadatos para describir por qué se creó la credencial (para generar informes).

  • Informes que muestran a qué contraseñas accedieron los usuarios para permitir que solo se cambien las contraseñas necesarias cuando alguien abandona la empresa. Una vez que los datos están en una base de datos, esto es fácil.

  • Fechas de caducidad de la contraseña. Los usaría para generar scripts para realizar la rotación automática de contraseñas y el registro de nuevas contraseñas en el sistema. A menudo tengo cosas como contraseñas de cuentas de servicio que no quiero estar sujeto a los requisitos de antigüedad del sistema operativo, pero, al mismo tiempo, me gustaría cambiar las contraseñas de vez en cuando.

Un back-end de base de datos con una interfaz web CRUD todo envuelto en SSL debería funcionar bien para esto.

No debería ser demasiado trabajo juntar algo rápido y sucio, pero hacerlo realmente pulido y limpio (con una buena API de cliente) probablemente sería algo de trabajo.

Evan Anderson
fuente
Suena como un sistema bastante robusto, mientras que solo estoy buscando un sistema de usuario único (como consultor), su lista de características es mucho más completa. Acerca de la función de solicitud, no estoy buscando acceso único a una contraseña, solo la posibilidad de agregar una contraseña. Por lo tanto, un cliente puede completar la contraseña, para qué sirve, etc., y luego cifrarla con mi clave pública, de modo que me 'envíe' las credenciales de forma segura (claro, podría enviarme un correo electrónico cifrado , pero estoy buscando algo simple para ellos).
Tim Lytle
Oh! No entendí su función de solicitud. ¡Lo que estás describiendo, poder poner una contraseña en la base de datos, también suena muy útil! Supongo que ayudaría si leo cosas, ¿eh? > sonrisa <
Evan Anderson
Una nota al margen: estaría dispuesto a arrojar $ 500 a alguien que desarrolló tal cosa con una licencia de estilo BSD o GPL. Cualquier persona interesada debe comunicarse conmigo sin conexión y podemos hablar sobre cómo hacer un documento de requisitos y un contrato para el trabajo.
Evan Anderson
2

Utilizamos nuestra biblioteca pidCrypt antes mencionada en pidder ( https://www.pidder.com ), una plataforma basada en la web que se enfoca en administrar y compartir secretos (contraseñas, mensajes, información de identidad, etc.) de forma segura.

Ya teníamos una función "dropbox" en nuestra lista de tareas pendientes, aunque con poca prioridad y programada para un lanzamiento posterior. Después de tropezar con esta pregunta, decidimos implementarla al comienzo de nuestra versión beta abierta a finales de este año.

Entonces, si bien las características principales requerirán registro, también habrá un "dropbox" donde cualquiera puede enviar mensajes cifrados a un usuario registrado siempre que conozca su URL de dropbox.

Jonás
fuente
De todos modos para entrar en la beta privada?
Tim Lytle
@Tim Sure, solo envíenos un correo electrónico a la dirección indicada en pidder.com/en/impressum.html
Jonah el
Se ve muy bien: una vez que tenga Dropbox, será más o menos lo que estaba buscando.
Tim Lytle
@Tim: Dropbox está disponible ahora y pidder es beta abierta. Háganos saber lo que piensas.
Jonás el
1

Hay al menos dos administradores de contraseñas en línea que son software libre:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Ambos se ven bastante bien (no los he usado todavía).

La única característica que falta, por lo que puedo decir, es la capacidad de agregar una contraseña sin tener una cuenta (si te entendí correctamente).

Sin embargo, esto no debería ser demasiado difícil de agregar, por lo que podría tener sentido desarrollar uno de estos productos. Ese es el punto del software libre, después de todo :-).

Una forma sería implementar una función que le permita limitar a un usuario para agregar nuevas contraseñas. Luego, puede crear un usuario "addpassword" con una contraseña predeterminada (o vacía) y enviarla a los clientes (o implementar una función para crear un URI que lo autentique previamente, para que pueda enviar un enlace). Eso debería funcionar y ser seguro ...

sleske
fuente
0

Una solución que he encontrado (solo para obtener las contraseñas) es cifrarla en javascript, recuperar los datos cifrados (por correo electrónico / navegador) y luego descifrarlos localmente (para que los datos no cifrados nunca viajen sin seguridad). No está pulido, pero esencialmente sería lo mismo que hacer que el cliente encripte y envíe la contraseña, solo que podrían hacerlo simplemente en un formulario web.

Aquí hay un ejemplo .

Tim Lytle
fuente