Contraseña / licencia / base de datos basada en web (y cifrada) Etc [cerrado]

Buscando un sistema para almacenar las credenciales que uso como consultor / programador de contratos. Si bien sé que podría usar KeePass o similar para uso de escritorio, o algo así como PassPack para el almacenamiento de contraseñas basado en la web (cifrado del lado del cliente), incluso Evernote podría usarse para crear un 'cuaderno' para cada cliente / proyecto con los datos confidenciales cifrados: lo que busco es un servicio que brinde:

• Almacenamiento de diferentes credenciales (claves WPA, licencias de software, claves API de Amazon).
• Forma segura de solicitar credenciales, sin forzar un registro.

Probablemente estaría de acuerdo con almacenar varios datos como contraseñas; lo importante es obtener los datos. Si bien PassPack tiene una interfaz de 'intercambio', obligaría a los clientes a registrarse. Estoy buscando algo que simplifique el cifrado de clave pública / privada para poder decirle a un cliente: "No me lo envíe por correo electrónico, solo vaya a ___.com/tjlytle y complete el formulario".

¿Me he perdido el sitio que hace eso?

Después de haber trabajado para empresas de "servicios administrados" en el pasado, busqué algo como esto pero nunca lo encontré. No he tenido tiempo ni ganas de escribir algo así desde que comencé mi propio negocio, pero definitivamente hay un mercado para ello. Definitivamente, también sería útil para uso interno dentro de una organización de TI de más de 1 persona.

He visto demasiadas "soluciones" agotadas que usan cosas como "Password Safe" que no tienen mecanismos de auditoría fuertes (o ninguno). Es muy difícil cambiar todas las contraseñas de la "caja fuerte" cuando alguien deja la empresa. Mantener las contraseñas almacenadas en el lado del servidor con mecanismos de acceso granular y una pista de auditoría facilitaría la vida en tal caso.

Las características que me gustaría incluir son:

• Autenticación para usuarios individuales de la base de datos de modo que se pueda generar un seguimiento de auditoría. Idealmente, el sistema de autenticación usaría la autenticación HTTP simple.

• Su "acceso sin registro" (función "solicitud") suena como el uso de una URL única como "acceso directo" para omitir la autenticación de una credencial dada que puede acceder a una sola contraseña. Eso suena bastante sencillo de implementar. Cuando crea esa credencial de uso único, debe tener algún tipo de metadatos para describir por qué se creó la credencial (para generar informes).

• Informes que muestran a qué contraseñas accedieron los usuarios para permitir que solo se cambien las contraseñas necesarias cuando alguien abandona la empresa. Una vez que los datos están en una base de datos, esto es fácil.

• Fechas de caducidad de la contraseña. Los usaría para generar scripts para realizar la rotación automática de contraseñas y el registro de nuevas contraseñas en el sistema. A menudo tengo cosas como contraseñas de cuentas de servicio que no quiero estar sujeto a los requisitos de antigüedad del sistema operativo, pero, al mismo tiempo, me gustaría cambiar las contraseñas de vez en cuando.

Un back-end de base de datos con una interfaz web CRUD todo envuelto en SSL debería funcionar bien para esto.

No debería ser demasiado trabajo juntar algo rápido y sucio, pero hacerlo realmente pulido y limpio (con una buena API de cliente) probablemente sería algo de trabajo.

Utilizamos nuestra biblioteca pidCrypt antes mencionada en pidder ( https://www.pidder.com ), una plataforma basada en la web que se enfoca en administrar y compartir secretos (contraseñas, mensajes, información de identidad, etc.) de forma segura.

Ya teníamos una función "dropbox" en nuestra lista de tareas pendientes, aunque con poca prioridad y programada para un lanzamiento posterior. Después de tropezar con esta pregunta, decidimos implementarla al comienzo de nuestra versión beta abierta a finales de este año.

Entonces, si bien las características principales requerirán registro, también habrá un "dropbox" donde cualquiera puede enviar mensajes cifrados a un usuario registrado siempre que conozca su URL de dropbox.

Hay al menos dos administradores de contraseñas en línea que son software libre:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Ambos se ven bastante bien (no los he usado todavía).

La única característica que falta, por lo que puedo decir, es la capacidad de agregar una contraseña sin tener una cuenta (si te entendí correctamente).

Sin embargo, esto no debería ser demasiado difícil de agregar, por lo que podría tener sentido desarrollar uno de estos productos. Ese es el punto del software libre, después de todo :-).

Una forma sería implementar una función que le permita limitar a un usuario para agregar nuevas contraseñas. Luego, puede crear un usuario "addpassword" con una contraseña predeterminada (o vacía) y enviarla a los clientes (o implementar una función para crear un URI que lo autentique previamente, para que pueda enviar un enlace). Eso debería funcionar y ser seguro ...

Una solución que he encontrado (solo para obtener las contraseñas) es cifrarla en javascript, recuperar los datos cifrados (por correo electrónico / navegador) y luego descifrarlos localmente (para que los datos no cifrados nunca viajen sin seguridad). No está pulido, pero esencialmente sería lo mismo que hacer que el cliente encripte y envíe la contraseña, solo que podrían hacerlo simplemente en un formulario web.

Aquí hay un ejemplo .

Encontré que LastPass es un excelente administrador de contraseñas para mis contraseñas. Echa un vistazo a la lista de características .

Aunque también estoy buscando el mejor (pero asequible) administrador de contraseñas digno de la empresa .