Base de dados (e criptografada) de senha / licença / Etc baseada na Web [fechada]

Procurando um sistema para armazenar as muitas credenciais que eu uso como consultor / programador de contratos. Embora eu saiba que poderia usar o KeePass ou similar para uso em desktop ou algo como o PassPack para armazenamento de senhas com base na Web (criptografia no lado do cliente), até o Evernote poderia ser usado para criar um 'notebook' para cada cliente / projeto com os dados confidenciais criptografados - o que estou procurando é um serviço que forneça:

• Armazenamento de credenciais diferentes (chaves WPA, licenças de software, chaves da API da Amazon).
• Maneira segura de solicitar credenciais, sem forçar uma inscrição.

Eu provavelmente ficaria bem em armazenar vários dados como senhas - a grande coisa é obter os dados. Embora o PassPack tenha uma interface de 'compartilhamento', isso forçaria os clientes a se inscreverem. Estou procurando algo que simplifique a criptografia de chave pública / privada para que eu possa dizer a um cliente: "Não envie por e-mail para mim, basta ir para ___.com/tjlytle e preencher o formulário".

Perdi o site que faz isso?

Tendo trabalhado para empresas de "serviços gerenciados" no passado, procurei algo assim, mas nunca o encontrei. Não tive tempo nem vontade de escrever uma coisa dessas desde que comecei meu próprio negócio, mas há definitivamente um mercado para isso. Definitivamente, seria útil para uso interno em uma organização de TI de mais de uma pessoa também.

Eu já vi muitas "soluções" klugadas usando coisas como "Password Safe" que não possuem mecanismos de auditoria fortes (ou nenhum). É uma grande dor mudar todas as senhas no "cofre" quando alguém sai da empresa. Manter as senhas armazenadas no lado do servidor com mecanismos de acesso granulares e uma trilha de auditoria facilitaria muito a vida nessa eventualidade.

Os recursos que eu gostaria incluem:

• Autenticação para usuários individuais no banco de dados, de forma que uma trilha de auditoria possa ser gerada. Idealmente, o sistema de autenticação usaria a autenticação HTTP simples e simples.

• Seu "acesso sem inscrição" (recurso "solicitação") parece usar um URL exclusivo como um "atalho" para ignorar a autenticação de uma determinada credencial que pode acessar uma única senha. Isso parece bastante simples de implementar. Ao criar essa credencial de uso único, você deve ter algum tipo de metadado para descrever por que a credencial foi criada (para geração de relatórios).

• Relatórios mostrando quais senhas foram acessadas por quais usuários, permitindo que somente as senhas necessárias sejam alteradas quando alguém sai da empresa. Uma vez que os dados estão em um back-end de banco de dados, isso é fácil.

• Datas de validade da senha. Eu os usaria para direcionar scripts para executar a rotação automática de senhas e o check-in de novas senhas no sistema. Freqüentemente, tenho coisas como senhas de contas de serviço que não quero estar sujeita aos requisitos de vencimento de senhas do sistema operacional, mas, ao mesmo tempo, gostaria que as senhas mudassem de vez em quando.

Um back-end de banco de dados com uma interface web CRUD, tudo embrulhado em SSL, deve funcionar bem para isso.

Não deve ser muito trabalho reunir algo rápido e sujo, mas torná-lo realmente polido e limpo (com uma boa API de cliente) provavelmente seria um pouco de trabalho.

Usamos nossa biblioteca pidCrypt acima mencionada no pidder ( https://www.pidder.com ) - uma plataforma baseada na Web que se concentra no gerenciamento e compartilhamento de segredos (senhas, mensagens, informações de identidade etc.) de forma segura.

Já tínhamos um recurso "dropbox" em nossa lista de tarefas, embora com pouca prioridade e agendado para um lançamento posterior. Depois de tropeçar nessa questão, decidimos implementá-la no início de nosso beta aberto ainda este ano.

Portanto, embora os principais recursos exijam registro, também haverá uma "caixa de depósito" onde qualquer pessoa pode enviar mensagens criptografadas para um usuário registrado, desde que conheça o URL da caixa de depósito.

Existem pelo menos dois gerenciadores de senhas on-line que são software livre:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

Ambos parecem muito bons (ainda não os foram usados).

O único recurso que falta, até onde sei, é a capacidade de adicionar uma senha sem ter uma conta (se eu entendi corretamente).

Porém, isso não deve ser muito difícil de adicionar; portanto, pode fazer sentido criar um desses produtos. Esse é o objetivo do software livre, afinal :-).

Uma maneira seria implementar um recurso que permita limitar um usuário a adicionar novas senhas. Em seguida, você pode simplesmente criar um usuário "addpassword" com senha padrão (ou vazia) e enviá-la aos clientes (ou implementar um recurso para criar um URI que pré-autentica você, para que você possa simplesmente enviar um link). Isso deve funcionar e ser seguro ...

Uma solução que eu encontrei (para obter apenas as senhas) é criptografá-las em javascript, recuperar os dados criptografados (via email / navegador) e descriptografá-los manualmente localmente (para que os dados não criptografados nunca cheguem sem segurança). Não é polido, mas seria essencialmente o mesmo que ter o cliente criptografado e enviado a senha - apenas eles poderiam fazê-lo simplesmente em um formulário da web.

Aqui está um exemplo .

Eu achei o LastPass um ótimo gerenciador de senhas para minhas senhas. Confira a lista de recursos .

Embora eu também esteja em busca do melhor (ainda acessível) gerenciador de senhas digno da empresa .