it-swarm-ja.com

Webベースの(および暗号化された)パスワード/ライセンス/その他のデータベース

私がコンサルタント/契約プログラマーとして使用する多くの資格情報を保存するシステムを探しています。 KeePassなどをデスクトップで使用したり、PassPackのようなものをWebベース(クライアント側の暗号化)のパスワードストレージに使用したりできることはわかっていますが、Evernoteを使用して、機密データを暗号化した各クライアント/プロジェクトの「ノートブック」を作成することもできます-私が探しているのは、以下を提供するサービスです。

  • さまざまな認証情報(WPAキー、ソフトウェアライセンス、Amazon APIキー)の保存。
  • サインアップを強制せずに、request資格情報への安全な方法。

私はおそらくさまざまなデータを保存しても大丈夫でしょうasパスワード-重要なのはgettingデータです。 PassPackには「共有」インターフェースがありますが、クライアントにサインアップを強制します。公開鍵/秘密鍵の暗号化を簡素化して、クライアントに「メールではなく、___。com/tjlytleにアクセスしてフォームに入力してください」と伝えることができるものを探しています。

私はそれをしているサイトを見逃したことがありますか?

9
Tim Lytle

過去に「マネージドサービス」会社で働いたことがあるので、このようなものを探しましたが、見つかりませんでした。自分のビジネスを始めて以来、そんなことを書く時間や傾向はありませんでしたが、確かに市場はあります。複数のIT組織内での内部使用にも間違いなく便利です。

強力な(またはまったく)監査メカニズムを持たない「PasswordSafe」のようなものを使用する、非常に多くの厄介な「ソリューション」を見てきました。誰かが会社を辞めたときに「金庫」のすべてのパスワードを変更するのは非常に苦痛です。きめ細かいアクセスメカニズムと監査証跡を使用してパスワードをサーバー側に保存しておくと、このような事態が発生した場合の作業が大幅に楽になります。

私が欲しい機能は次のとおりです。

  • 監査証跡を生成できるように、データベースに対する個々のユーザーの認証。理想的には、認証システムは単純な古いHTTP認証を使用します。

  • 「サインアップなしのアクセス」(「リクエスト」機能)は、単一のパスワードにアクセスできる特定の資格情報の認証をバイパスするための「ショートカット」として一意のURLを使用するように聞こえます。実装するのはかなり簡単に聞こえます。その1回限りの使用資格情報を作成するときは、資格情報が作成された理由を説明するための何らかのメタデータが必要です(レポート用)。

  • 誰かが会社を辞めたときに必要なパスワードのみを変更できるようにするために、どのユーザーがどのパスワードにアクセスしたかを示すレポート。データがデータベースバックエンドに入ると、これは簡単です。

  • パスワードの有効期限。これらを使用してスクリプトを駆動し、自動パスワードローテーションとシステムへの新しいパスワードのチェックインを実行します。オペレーティングシステムのパスワードエージング要件の対象にしたくないサービスアカウントのパスワードなどを持っていることがよくありますが、同時に、パスワードを時々変更してもらいたいと思っています。

すべてSSLでラップされたWebCRUDインターフェイスを備えたデータベースバックエンドは、これに対して正常に機能するはずです。

何かをすばやく汚いものにまとめるのはそれほど手間がかかることではありませんが、(NiceクライアントAPIを使用して)本当に洗練されたクリーンなものにするのはおそらくいくつかの作業です。

3
Evan Anderson

前述のpidCryptライブラリをpidder( https://www.pidder.com )で使用します-秘密(パスワード、メッセージ、ID情報など)の安全な管理と共有に焦点を当てたWebベースのプラットフォーム。

優先順位はほとんどなく、今後のリリースが予定されていますが、ToDoリストにはすでに「ドロップボックス」機能があります。この質問に出くわした後、今年後半のオープンベータの開始時に実装することにしました。

そのため、主な機能には登録が必要ですが、ドロップボックスのURLを知っていれば、誰でも暗号化されたメッセージを登録ユーザーに送信できる「ドロップボックス」もあります。

2
Jonah

フリーソフトウェアであるオンラインパスワードマネージャーが少なくとも2つあります。

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

どちらもかなり見栄えがします(まだ使用していません)。

私が知る限り、欠けている唯一の機能は、アカウントを持たずにパスワードを追加する機能です(私があなたを正しく理解している場合)。

ただし、これを追加するのはそれほど難しくないはずなので、これらの製品の1つに組み込むことは理にかなっているかもしれません。結局のところ、それがフリーソフトウェアのポイントです:-)。

1つの方法は、ユーザーが新しいパスワードを追加できるように制限できる機能を実装することです。次に、デフォルト(または空)のパスワードで「addpassword」ユーザーを作成し、それをクライアントに送信します(または、事前認証するURIを作成する機能を実装して、リンクを送信するだけです)。それは機能し、安全であるはずです...

1
sleske

LastPass が私のパスワードのすばらしいパスワードマネージャーであることがわかりました。 機能リスト をチェックしてください。

私も 最高の(まだ手頃な)エンタープライズに値するパスワードマネージャーの探求 ですが。

0
Nathan Hartley

私が見つけた解決策の1つ(getingpasswords)は、JavaScriptで暗号化し、暗号化されたデータを(電子メール/ブラウザー経由で)取得してから手動で取得することです。ローカルで復号化します(したがって、暗号化されていないデータがセキュリティで保護されていない状態で移動することはありません)。洗練されていませんが、基本的にはクライアントにパスワードを暗号化して送信させるのと同じです。Webフォームで簡単に実行できるのはクライアントだけです。

ここに例があります

0
Tim Lytle