Base de données de mot de passe / licence / etc. basée sur le Web (et cryptée) [fermé]

9

Vous cherchez un système pour stocker les nombreuses informations d'identification que j'utilise en tant que consultant / programmeur contractuel. Bien que je sache que je pourrais utiliser KeePass ou similaire pour une utilisation sur ordinateur, ou quelque chose comme PassPack pour le stockage de mots de passe basé sur le Web (chiffrement côté client), même Evernote pourrait être utilisé pour créer un `` bloc-notes '' pour chaque client / projet avec les données sensibles chiffrées - ce que je recherche, c'est un service qui offre:

  • Stockage de différentes informations d'identification (clés WPA, licences logicielles, clés API Amazon).
  • Manière sécurisée de demander des informations d'identification, sans forcer une inscription.

Je serais probablement d'accord avec le stockage de diverses données en tant que mots de passe - le plus important est d' obtenir les données. Bien que PassPack ait une interface de «partage», cela obligerait les clients à s'inscrire. Je cherche quelque chose qui simplifie le chiffrement des clés publiques / privées afin que je puisse dire à un client: "Ne m'envoyez pas de courrier électronique, allez simplement sur ___.com/tjlytle et remplissez le formulaire."

Ai-je raté quelque site que ce soit?

untagged Tim Lytle
la source
1
Je construis cela pour moi-même et mes clients et employés et partenaires; si personne ne répond, je suppose qu'il y a une entreprise prête à se produire ...
Devin Ceartas
@Devin Oui, c'est ce que je pense, je cherche juste une solution existante avant de tenter d'écrire quelque chose. Où en êtes-vous?
Tim Lytle le
Je pensais juste le souligner, j'ai trouvé un article sur le super utilisateur ( superuser.com/questions/255/… ), après avoir posté ici, mais je n'ai rien vu avec la fonctionnalité de «demande» que je recherche.
Tim Lytle
Les bibliothèques de crypto de @Devin PassPack sont open source, mais tout le système Clipperz est ouvert ( clipperz.com/open_source/clipperz_community_edition ), c'est peut-être un bon point de départ?
Tim Lytle
Voici une autre bibliothèque JS ( de pidder.com/pidcrypt ), et il semble faire partie d'un autre site de gestion de mot de passe sur le web. Étant donné que la bibliothèque prend en charge RSA (passpack utilise AES), ils peuvent travailler sur le public / privé «envoyer un mot de passe».
Tim Lytle,

Réponses:

3

Ayant travaillé pour des entreprises de "services gérés" dans le passé, j'ai cherché quelque chose comme ça mais je ne l'ai jamais trouvé. Je n'ai pas eu le temps ni l'envie d'écrire une telle chose depuis le démarrage de ma propre entreprise, mais il y a certainement un marché pour cela. Ce serait certainement pratique pour une utilisation interne au sein d'une organisation informatique de plus d'une personne.

J'ai vu trop de «solutions» klugées utilisant des choses comme «Password Safe» qui n'ont pas de mécanismes d'audit solides (ou aucun). C'est une énorme douleur de changer tous les mots de passe dans le "coffre-fort" lorsque quelqu'un quitte l'entreprise. Garder les mots de passe stockés côté serveur avec des mécanismes d'accès granulaires et une piste d'audit rendrait la vie beaucoup plus facile dans une telle éventualité.

Les fonctionnalités que j'aimerais inclure:

  • Authentification pour les utilisateurs individuels auprès de la base de données de sorte qu'une piste d'audit puisse être générée. Idéalement, le système d'authentification utiliserait une authentification HTTP simple.

  • Votre "accès sans inscription" (fonctionnalité "demande") ressemble à l'utilisation d'une URL unique comme "raccourci" pour contourner l'authentification pour un identifiant donné qui peut accéder à un seul mot de passe. Cela semble assez simple à mettre en œuvre. Lorsque vous créez ces informations d'identification à usage unique, vous devez disposer d'une sorte de métadonnées pour décrire la raison pour laquelle les informations d'identification ont été créées (pour les rapports).

  • Rapports indiquant quels mots de passe ont été consultés par quels utilisateurs pour autoriser uniquement la modification des mots de passe nécessaires lorsque quelqu'un quitte l'entreprise. Une fois que les données sont dans une base de données, c'est facile.

  • Dates d'expiration du mot de passe. Je les utiliserais pour générer des scripts afin d'effectuer une rotation automatisée des mots de passe et l'enregistrement de nouveaux mots de passe dans le système. Souvent, j'ai des choses comme les mots de passe des comptes de service que je ne veux pas être soumis aux exigences de vieillissement des mots de passe du système d'exploitation, mais, en même temps, j'aimerais que les mots de passe changent de temps en temps.

Un back-end de base de données avec une interface Web CRUD entièrement enveloppée dans SSL devrait fonctionner correctement pour cela.

Cela ne devrait pas être trop de travail de rassembler quelque chose de rapide et de sale, mais le rendre vraiment soigné et propre (avec une belle API client) serait probablement un travail.

Evan Anderson
la source
Cela ressemble à un système assez robuste, alors que je suis à la recherche d'un système à utilisateur unique (en tant que consultant), votre liste de fonctionnalités est beaucoup plus complète. À propos de la fonction de demande, je ne recherche pas un accès unique à un mot de passe, mais simplement la possibilité d' ajouter un mot de passe. Ainsi, un client peut saisir le mot de passe, à quoi il sert, etc., puis le chiffrer avec ma clé publique, afin qu'il m'envoie les informations d'identification de manière sécurisée (bien sûr, il pourrait m'envoyer un e-mail chiffré , mais je cherche quelque chose de simple pour eux).
Tim Lytle le
Oh! J'ai mal compris votre fonctionnalité de demande. Ce que vous décrivez, être capable de mettre un mot de passe dans la base de données, semble également très pratique! Je suppose que ça aiderait si je lis des choses, hein? > sourire <
Evan Anderson
Une note latérale: je serais prêt à jeter 500 $ à quelqu'un qui a développé une telle chose avec une licence de style BSD ou GPL. Toute personne intéressée doit me contacter hors ligne et nous pouvons parler de la rédaction d'un document d'exigences et d'un contrat pour le travail.
Evan Anderson
2

Nous utilisons notre bibliothèque pidCrypt susmentionnée dans pidder ( https://www.pidder.com ) - une plate-forme Web qui se concentre sur la gestion et le partage des secrets (mots de passe, messages, informations d'identité, etc.) en toute sécurité.

Nous avions déjà une fonctionnalité "dropbox" sur notre liste de tâches, bien qu'avec peu de priorité et prévue pour une version ultérieure. Après être tombé sur cette question, nous avons décidé de l'implémenter au début de notre bêta ouverte plus tard cette année.

Ainsi, alors que les principales fonctionnalités devront être enregistrées, il y aura également une "boîte de dépôt" où n'importe qui pourra envoyer des messages cryptés à un utilisateur enregistré à condition de connaître son URL de boîte de dépôt.

Jonas
la source
Quoi qu'il en soit pour entrer dans la version bêta privée?
Tim Lytle
@Tim Sure, envoyez-nous simplement un e-mail à l'adresse indiquée sur pidder.com/en/impressum.html
Jonah
Semble très bien - une fois que vous avez la boîte de dépôt, ce sera à peu près ce que je cherchais.
Tim Lytle
@Tim: Dropbox est maintenant disponible et pidder est en version bêta ouverte. Dites-nous ce que vous en pensez.
Jonah
1

Il existe au moins deux gestionnaires de mots de passe en ligne qui sont des logiciels libres:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Les deux semblent assez bons (ne les ont pas encore utilisés).

La seule fonctionnalité manquante, pour autant que je sache, est la possibilité d'ajouter un mot de passe sans avoir de compte (si je vous ai bien compris).

Cependant, cela ne devrait pas être trop difficile à ajouter, il pourrait donc être judicieux de s'appuyer sur l'un de ces produits. C'est le but du logiciel libre, après tout :-).

Une façon serait d'implémenter une fonctionnalité qui vous permet de limiter un utilisateur à l'ajout de nouveaux mots de passe. Ensuite, vous pouvez simplement créer un utilisateur "addpassword" avec un mot de passe par défaut (ou vide), et l'envoyer aux clients (ou implémenter une fonctionnalité pour créer un URI qui vous authentifie à l'avance, vous pouvez donc simplement envoyer un lien). Cela devrait fonctionner et être sécurisé ...

sleske
la source
0

Une solution que j'ai trouvée (pour obtenir simplement les mots de passe) est de les crypter en javascript, de récupérer les données cryptées (via e-mail / navigateur) puis de les décrypter manuellement localement (afin que les données non cryptées ne voyagent jamais non sécurisées). Ce n'est pas peaufiné, mais ce serait essentiellement la même chose que d'avoir le client à crypter et à envoyer le mot de passe - seulement ils pourraient le faire simplement sous forme Web.

Voici un exemple .

Tim Lytle
la source