รหัสผ่าน / และการเข้ารหัสตามเว็บ (และเข้ารหัส) / ฐานข้อมูล / Etc [ปิด]

9

กำลังมองหาระบบที่จะเก็บข้อมูลรับรองมากมายที่ฉันใช้เป็นที่ปรึกษา / โปรแกรมเมอร์สัญญา ในขณะที่ฉันรู้ว่าฉันสามารถใช้ KeePass หรือคล้ายกันสำหรับการใช้เดสก์ท็อปหรือบางอย่างเช่น PassPack สำหรับการจัดเก็บรหัสผ่านบนเว็บ (การเข้ารหัสฝั่งไคลเอ็นต์) แม้ Evernote สามารถใช้เพื่อสร้าง 'โน้ตบุ๊ก' สำหรับลูกค้าแต่ละราย / โครงการ สิ่งที่ฉันกำลังมองหาคือบริการที่ให้:

  • การจัดเก็บข้อมูลรับรองที่แตกต่างกัน (คีย์ WPA, สิทธิ์ใช้งานซอฟต์แวร์, คีย์ Amazon API)
  • วิธีที่ปลอดภัยในการขอข้อมูลประจำตัวโดยไม่บังคับให้ลงชื่อสมัครใช้

ฉันอาจจะโอเคกับการเก็บข้อมูลต่าง ๆเป็นรหัสผ่าน - สิ่งสำคัญคือการรับข้อมูล ในขณะที่ PassPack มีอินเทอร์เฟซ 'การแชร์' มันจะบังคับให้ลูกค้าลงชื่อสมัครใช้ ฉันกำลังมองหาสิ่งที่ทำให้การเข้ารหัสคีย์สาธารณะ / ส่วนตัวง่ายขึ้นเพื่อให้ฉันสามารถบอกลูกค้าว่า "อย่าส่งอีเมลถึงฉันเพียงไปที่ ___.com/tjlytle และกรอกแบบฟอร์ม"

ฉันพลาดสิ่งที่เว็บไซต์ทำหรือไม่

untagged 
ทิมไลเทิล
แหล่งที่มา
1
ฉันกำลังสร้างสิ่งนี้เพื่อตัวเองและลูกค้าของฉันพนักงานและคู่ค้า; ถ้าไม่มีใครตอบผมคิดว่ามีเป็นธุรกิจที่พร้อมที่จะเกิดขึ้น ...
วิน Ceartas
@ Devin ใช่นั่นคือสิ่งที่ฉันคิดว่าฉันกำลังมองหาวิธีการแก้ปัญหาที่มีอยู่ก่อนที่จะยิงบางสิ่งบางอย่างที่เขียน คุณอยู่ไกลแค่ไหน
Tim Lytle
แค่คิดว่าฉันชี้ให้เห็นพบโพสต์ที่เกี่ยวข้องกับผู้ใช้ขั้นสูง ( superuser.com/questions/255/ ...... ) หลังจากโพสต์ที่นี่ แต่ไม่เห็นอะไรเลยด้วยคุณลักษณะ 'คำขอ' ที่ฉันกำลังมองหา
Tim Lytle
ไลบรารี crypto @Devin PassPack เปิดแหล่งที่มา แต่ Clipperz ทั้งระบบเปิด ( clipperz.com/open_source/clipperz_community_edition ) อาจเป็นจุดเริ่มต้นที่ดีใช่ไหม
ทิมไลเทิล
นี่คือไลบรารี JS อื่น ( pidder.com/pidcrypt ) และดูเหมือนว่าจะเป็นส่วนหนึ่งของเว็บไซต์การจัดการรหัสผ่านที่ใช้เว็บอื่น เนื่องจากห้องสมุดรองรับ RSA (Passpack ใช้ AES) พวกเขาอาจทำงานกับสาธารณะ / ส่วนตัว 'ส่งรหัสผ่าน'
Tim Lytle

คำตอบ:

3

เมื่อก่อนเคยทำงานให้กับ บริษัท "บริการที่มีการจัดการ" ในอดีตฉันมองหาอะไรแบบนี้ แต่ไม่เคยเจอเลย ฉันไม่ได้มีเวลาหรือความชอบในการเขียนสิ่งนี้ตั้งแต่เริ่มต้นธุรกิจของตัวเอง แต่มีตลาดสำหรับมันแน่นอน มันจะเป็นประโยชน์อย่างยิ่งสำหรับการใช้งานภายในองค์กรด้านไอทีที่มีมากกว่า 1 คนเช่นกัน

ฉันเคยเห็น "โซลูชัน" kluged มากเกินไปโดยใช้สิ่งต่าง ๆ เช่น "รหัสผ่านที่ปลอดภัย" ซึ่งไม่มีกลไกการตรวจสอบที่รัดกุม (หรือมี) มันเป็นความเจ็บปวดอย่างใหญ่หลวงในการเปลี่ยนรหัสผ่านทั้งหมดใน "ปลอดภัย" เมื่อมีคนออกจาก บริษัท การเก็บรหัสผ่านที่เก็บไว้ฝั่งเซิร์ฟเวอร์ด้วยกลไกการเข้าถึงอย่างละเอียดและหลักฐานการตรวจสอบจะทำให้ชีวิตง่ายขึ้นมากในเหตุการณ์เช่นนี้

คุณสมบัติที่ฉันต้องการรวมถึง:

  • การพิสูจน์ตัวตนสำหรับผู้ใช้แต่ละรายไปยังฐานข้อมูลเพื่อให้สามารถสร้างหลักฐานการตรวจสอบได้ ระบบการรับรองความถูกต้องจะใช้การรับรองความถูกต้อง HTTP ล้วน ol

  • ฟังก์ชั่น "การเข้าถึงโดยไม่ต้องสมัครสมาชิก" ("คำขอ") ของคุณดูเหมือนจะใช้ URL ที่ไม่ซ้ำกันเป็น "ทางลัด" เพื่อเลี่ยงผ่านการตรวจสอบสิทธิ์สำหรับข้อมูลรับรองที่กำหนดซึ่งสามารถเข้าถึงรหัสผ่านเดียว ฟังดูค่อนข้างตรงไปตรงมาที่จะใช้ เมื่อคุณสร้างข้อมูลรับรองการใช้ครั้งเดียวคุณควรมีข้อมูลเมตาบางประเภทเพื่ออธิบายสาเหตุที่สร้างข้อมูลรับรอง (สำหรับการรายงาน)

  • รายงานแสดงรหัสผ่านที่ผู้ใช้สามารถอนุญาตให้เปลี่ยนรหัสผ่านได้เฉพาะเมื่อมีคนออกจาก บริษัท เมื่อข้อมูลอยู่ในฐานข้อมูลแบ็คเอนด์นี้เป็นเรื่องง่าย

  • วันหมดอายุรหัสผ่าน ฉันจะใช้สิ่งเหล่านี้เพื่อขับสคริปต์เพื่อทำการหมุนรหัสผ่านอัตโนมัติและเช็คอินรหัสผ่านใหม่เข้าสู่ระบบ บ่อยครั้งที่ฉันมีสิ่งต่าง ๆ เช่นรหัสผ่านบัญชีบริการที่ฉันไม่ต้องการให้เป็นไปตามข้อกำหนดอายุของรหัสผ่านระบบปฏิบัติการ แต่ในเวลาเดียวกันฉันต้องการเปลี่ยนรหัสผ่านอีกครั้งในชั่วขณะหนึ่ง

แบ็คเอนด์ฐานข้อมูลที่มีอินเตอร์เฟส CRUD บนเว็บทั้งหมดที่รวมอยู่ใน SSL ควรทำงานได้ดีกับสิ่งนี้

มันไม่ควรที่จะทำงานมากเกินไปที่จะเคาะบางสิ่งให้เร็วและสกปรก แต่การทำให้มันสะอาดและสะอาด (ด้วย API ไคลเอนต์ที่ดี) น่าจะเป็นงานบางอย่าง

Evan Anderson
แหล่งที่มา
ฟังดูเหมือนระบบที่มีประสิทธิภาพในขณะที่ฉันกำลังมองหาระบบผู้ใช้รายเดียว (ในฐานะที่ปรึกษา) รายการคุณลักษณะของคุณนั้นมีความครอบคลุมมากกว่า เกี่ยวกับคุณลักษณะขอร้องฉันไม่ได้มองหาการเข้าถึงครั้งหนึ่งที่จะใช้รหัสผ่านเพียงแค่ความสามารถในการเพิ่มรหัสผ่าน ดังนั้นลูกค้าสามารถกรอกรหัสผ่านสิ่งที่เป็นประโยชน์ ฯลฯ มีการเข้ารหัสด้วยกุญแจสาธารณะของฉันดังนั้นพวกเขาจึง 'ส่ง' ข้อมูลประจำตัวของฉันในวิธีที่ปลอดภัย (แน่นอนพวกเขาสามารถส่งอีเมลเข้ารหัสให้ฉันได้ แต่ฉันกำลังมองหาสิ่งที่ง่ายสำหรับพวกเขา)
Tim Lytle
Oh! ฉันเข้าใจผิดคุณสมบัติการร้องขอของคุณ สิ่งที่คุณกำลังอธิบายความสามารถในการใส่รหัสผ่านลงในฐานข้อมูลก็ฟังดูมีประโยชน์มาก! คิดว่ามันจะช่วยถ้าฉันอ่านสิ่งต่าง ๆ ใช่มั้ย > smile <
Evan Anderson
หมายเหตุด้านข้าง: ฉันยินดีที่จะโยน $ 500 ให้กับผู้ที่พัฒนาสิ่งนี้ด้วยใบอนุญาตแบบ BSD หรือ GPL-style ใครที่สนใจควรติดต่อฉันแบบออฟไลน์และเราสามารถพูดคุยเกี่ยวกับการทำเอกสารข้อกำหนดและสัญญาสำหรับการทำงาน
Evan Anderson
2

เราใช้ไลบรารี pidCrypt ดังกล่าวใน pidder ( https://www.pidder.com ) - แพลตฟอร์มบนเว็บที่มุ่งเน้นการจัดการและแบ่งปันความลับ (รหัสผ่านข้อความข้อมูลตัวตนและอื่น ๆ ) อย่างปลอดภัย

เรามีคุณสมบัติ "ดรอปบ็อกซ์" ในรายการสิ่งที่ต้องทำของเราแม้ว่าจะมีลำดับความสำคัญน้อยและมีกำหนดวางจำหน่ายในภายหลัง หลังจากสะดุดกับคำถามนี้เราตัดสินใจที่จะนำไปใช้ในช่วงเริ่มต้นเบต้าเปิดของเราในปลายปีนี้

ดังนั้นในขณะที่คุณสมบัติหลักจะต้องมีการลงทะเบียนก็จะมี "ดรอปบ็อกซ์" ที่ทุกคนสามารถส่งข้อความที่เข้ารหัสไปยังผู้ใช้ที่ลงทะเบียนได้หากพวกเขารู้ URL ดรอปบ็อกซ์ของเขาหรือเธอ

โยนาห์
แหล่งที่มา
ยังไงก็ตามที่จะเข้าร่วมในเบต้าส่วนตัว?
Tim Lytle
@ Tim แน่นอนว่าเพียงแค่ส่งอีเมลถึงเราตามที่อยู่ที่ได้รับที่pidder.com/en/impressum.html
โจนาห์
ดูดีมาก - เมื่อคุณมีดรอปบ็อกซ์มันจะเป็นสิ่งที่ฉันกำลังมองหา
Tim Lytle
@Tim: Dropbox พร้อมใช้งานในขณะนี้และ pidder เป็นเบต้าแบบเปิด แจ้งให้เราทราบสิ่งที่คุณคิด.
Jonah
1

มีผู้จัดการรหัสผ่านออนไลน์อย่างน้อยสองคนซึ่งเป็นซอฟต์แวร์ฟรี:

W3PW

http://w3pw.sourceforge.net/

Clipperz

http://www.clipperz.com/open_source/clipperz_community_edition

ทั้งสองดูค่อนข้างดี (ยังไม่ได้ใช้เลย)

คุณลักษณะเดียวที่หายไปเท่าที่ฉันสามารถบอกได้คือความสามารถในการเพิ่มรหัสผ่านโดยไม่ต้องมีบัญชี (ถ้าฉันเข้าใจคุณถูกต้อง)

อย่างไรก็ตามการเพิ่มนี้ไม่ควรยากเกินไปดังนั้นจึงควรใช้เป็นหนึ่งในผลิตภัณฑ์เหล่านี้ นั่นคือจุดของซอฟต์แวร์ฟรีหลังจากทั้งหมด :-)

วิธีหนึ่งคือการใช้คุณสมบัติที่ให้คุณ จำกัด ผู้ใช้ในการเพิ่มรหัสผ่านใหม่ จากนั้นคุณสามารถสร้างผู้ใช้ "addpassword" ด้วยรหัสผ่านเริ่มต้น (หรือว่างเปล่า) และส่งไปยังลูกค้า (หรือใช้คุณสมบัติเพื่อสร้าง URI ที่พิสูจน์ตัวตนคุณไว้ล่วงหน้าเพื่อให้คุณสามารถส่งลิงก์) ที่ควรจะทำงานและมีความปลอดภัย ...

sleske
แหล่งที่มา
0

ทางออกหนึ่งที่ฉันได้พบ (สำหรับเพิ่งได้รับรหัสผ่าน) คือการเข้ารหัสในจาวาสคริปต์เรียกคืนข้อมูลที่เข้ารหัส (ผ่านอีเมล / เบราว์เซอร์) จากนั้นถอดรหัสด้วยตนเองในเครื่อง (ดังนั้นข้อมูลที่ไม่เข้ารหัสจะไม่ปลอดภัย มันไม่ได้ขัด แต่จริงๆแล้วมันจะเหมือนกับว่าลูกค้าเข้ารหัสและส่งรหัสผ่าน - เพียงแค่พวกเขาทำได้เพียงแค่ในเว็บฟอร์ม

นี่คือตัวอย่าง

ทิมไลเทิล
แหล่งที่มา
0

ฉันพบว่าLastPassเป็นผู้จัดการรหัสผ่านที่ยอดเยี่ยมสำหรับรหัสผ่านของฉัน ตรวจสอบรายการคุณลักษณะ

แม้ว่าผมยังอยู่ในการแสวงหาสิ่งที่ดีที่สุด ( แต่ราคาไม่แพง) องค์กรจัดการรหัสผ่านที่คุ้มค่า

นาธานฮาร์ทลี่ย์
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.