Base de dados (e criptografada) de senha / licença / Etc baseada na Web [fechada]

9

Procurando um sistema para armazenar as muitas credenciais que eu uso como consultor / programador de contratos. Embora eu saiba que poderia usar o KeePass ou similar para uso em desktop ou algo como o PassPack para armazenamento de senhas com base na Web (criptografia no lado do cliente), até o Evernote poderia ser usado para criar um 'notebook' para cada cliente / projeto com os dados confidenciais criptografados - o que estou procurando é um serviço que forneça:

  • Armazenamento de credenciais diferentes (chaves WPA, licenças de software, chaves da API da Amazon).
  • Maneira segura de solicitar credenciais, sem forçar uma inscrição.

Eu provavelmente ficaria bem em armazenar vários dados como senhas - a grande coisa é obter os dados. Embora o PassPack tenha uma interface de 'compartilhamento', isso forçaria os clientes a se inscreverem. Estou procurando algo que simplifique a criptografia de chave pública / privada para que eu possa dizer a um cliente: "Não envie por e-mail para mim, basta ir para ___.com/tjlytle e preencher o formulário".

Perdi o site que faz isso?

untagged Tim Lytle
fonte
1
Estou construindo isso para mim e meus clientes, funcionários e parceiros; se ninguem responder eu acho que tem um negocio pronto para acontecer ...
Devin Ceartas 02/09/09
@ Kevin Sim, é isso que estou pensando, só estou procurando uma solução existente antes de tentar escrever algo. Quanto tempo você está?
Tim Lytle
Apenas pensei em apontar, encontrei um post relacionado no superusuário ( superuser.com/questions/255/… ), depois de postar aqui, mas não vi nada com o recurso de 'solicitação' que estou procurando.
Tim Lytle
As bibliotecas de criptografia do @Devin PassPack são de código aberto, mas o sistema inteiro do Clipperz está aberto ( clipperz.com/open_source/clipperz_community_edition ), talvez esse seja um bom ponto de partida?
Tim Lytle
Aqui está outra biblioteca JS ( pidder.com/pidcrypt ) e parece fazer parte de outro site de gerenciamento de senhas baseado na web. Como a biblioteca suporta RSA (o passpack usa AES), eles podem estar trabalhando no público / privado 'send a password'.
10246 Tim Lytle

Respostas:

3

Tendo trabalhado para empresas de "serviços gerenciados" no passado, procurei algo assim, mas nunca o encontrei. Não tive tempo nem vontade de escrever uma coisa dessas desde que comecei meu próprio negócio, mas há definitivamente um mercado para isso. Definitivamente, seria útil para uso interno em uma organização de TI de mais de uma pessoa também.

Eu já vi muitas "soluções" klugadas usando coisas como "Password Safe" que não possuem mecanismos de auditoria fortes (ou nenhum). É uma grande dor mudar todas as senhas no "cofre" quando alguém sai da empresa. Manter as senhas armazenadas no lado do servidor com mecanismos de acesso granulares e uma trilha de auditoria facilitaria muito a vida nessa eventualidade.

Os recursos que eu gostaria incluem:

  • Autenticação para usuários individuais no banco de dados, de forma que uma trilha de auditoria possa ser gerada. Idealmente, o sistema de autenticação usaria a autenticação HTTP simples e simples.

  • Seu "acesso sem inscrição" (recurso "solicitação") parece usar um URL exclusivo como um "atalho" para ignorar a autenticação de uma determinada credencial que pode acessar uma única senha. Isso parece bastante simples de implementar. Ao criar essa credencial de uso único, você deve ter algum tipo de metadado para descrever por que a credencial foi criada (para geração de relatórios).

  • Relatórios mostrando quais senhas foram acessadas por quais usuários, permitindo que somente as senhas necessárias sejam alteradas quando alguém sai da empresa. Uma vez que os dados estão em um back-end de banco de dados, isso é fácil.

  • Datas de validade da senha. Eu os usaria para direcionar scripts para executar a rotação automática de senhas e o check-in de novas senhas no sistema. Freqüentemente, tenho coisas como senhas de contas de serviço que não quero estar sujeita aos requisitos de vencimento de senhas do sistema operacional, mas, ao mesmo tempo, gostaria que as senhas mudassem de vez em quando.

Um back-end de banco de dados com uma interface web CRUD, tudo embrulhado em SSL, deve funcionar bem para isso.

Não deve ser muito trabalho reunir algo rápido e sujo, mas torná-lo realmente polido e limpo (com uma boa API de cliente) provavelmente seria um pouco de trabalho.

Evan Anderson
fonte
Soa como um sistema bastante robusto, enquanto estou apenas procurando um sistema de usuário único (como consultor), sua lista de recursos é muito mais abrangente. Sobre o recurso de solicitação, não estou procurando um acesso único a uma senha, apenas a capacidade de adicionar uma senha. Assim, um cliente pode preencher a senha, para que serve etc., e depois criptografá-la com minha chave pública, para que eles estejam "me enviando" as credenciais de maneira segura (com certeza, elas podem me enviar um e-mail criptografado , mas estou procurando algo simples para eles).
Tim Lytle
Oh! Entendi mal o recurso de solicitação. O que você está descrevendo, poder colocar uma senha no banco de dados, também parece muito útil! Acho que ajudaria se eu lesse as coisas, não é? > smile <
Evan Anderson
Uma observação: eu estaria disposto a oferecer US $ 500 a alguém que desenvolveu uma coisa dessas com uma licença no estilo BSD ou no estilo GPL. Qualquer pessoa interessada deve entrar em contato comigo offline e podemos conversar sobre como fazer um documento de requisitos e um contrato para o trabalho.
Evan Anderson
2

Usamos nossa biblioteca pidCrypt acima mencionada no pidder ( https://www.pidder.com ) - uma plataforma baseada na Web que se concentra no gerenciamento e compartilhamento de segredos (senhas, mensagens, informações de identidade etc.) de forma segura.

Já tínhamos um recurso "dropbox" em nossa lista de tarefas, embora com pouca prioridade e agendado para um lançamento posterior. Depois de tropeçar nessa questão, decidimos implementá-la no início de nosso beta aberto ainda este ano.

Portanto, embora os principais recursos exijam registro, também haverá uma "caixa de depósito" onde qualquer pessoa pode enviar mensagens criptografadas para um usuário registrado, desde que conheça o URL da caixa de depósito.

Jonah
fonte
Enfim, para entrar na versão beta privada?
Tim Lytle
@ Tim Claro, envie-nos um e-mail para o endereço fornecido em pidder.com/en/impressum.html
Jonah
Parece muito bom - assim que você tiver a caixa de depósito, será praticamente o que eu estava procurando.
Tim Lytle
@ Tim: Dropbox está disponível agora e pidder é beta aberto. Deixe-nos saber o que você pensa.
Jonah
1

Existem pelo menos dois gerenciadores de senhas on-line que são software livre:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Ambos parecem muito bons (ainda não os foram usados).

O único recurso que falta, até onde sei, é a capacidade de adicionar uma senha sem ter uma conta (se eu entendi corretamente).

Porém, isso não deve ser muito difícil de adicionar; portanto, pode fazer sentido criar um desses produtos. Esse é o objetivo do software livre, afinal :-).

Uma maneira seria implementar um recurso que permita limitar um usuário a adicionar novas senhas. Em seguida, você pode simplesmente criar um usuário "addpassword" com senha padrão (ou vazia) e enviá-la aos clientes (ou implementar um recurso para criar um URI que pré-autentica você, para que você possa simplesmente enviar um link). Isso deve funcionar e ser seguro ...

sleske
fonte
0

Uma solução que eu encontrei (para obter apenas as senhas) é criptografá-las em javascript, recuperar os dados criptografados (via email / navegador) e descriptografá-los manualmente localmente (para que os dados não criptografados nunca cheguem sem segurança). Não é polido, mas seria essencialmente o mesmo que ter o cliente criptografado e enviado a senha - apenas eles poderiam fazê-lo simplesmente em um formulário da web.

Aqui está um exemplo .

Tim Lytle
fonte