Cơ sở dữ liệu Mật khẩu / Giấy phép / Cơ sở dữ liệu dựa trên web [đã đóng]

9

Tìm kiếm một hệ thống để lưu trữ nhiều thông tin tôi sử dụng như một nhà tư vấn / lập trình viên hợp đồng. Mặc dù tôi biết rằng tôi có thể sử dụng KeePass hoặc tương tự cho việc sử dụng máy tính để bàn hoặc một cái gì đó như PassPack để lưu trữ mật khẩu dựa trên web (mã hóa phía máy khách), thậm chí Evernote có thể được sử dụng để tạo một 'sổ ghi chép' cho mỗi máy khách / dự án với dữ liệu nhạy cảm được mã hóa - những gì tôi đang tìm kiếm là một dịch vụ cung cấp:

  • Lưu trữ các thông tin khác nhau (Khóa WPA, Giấy phép phần mềm, Khóa API của Amazon).
  • Cách an toàn để yêu cầu thông tin đăng nhập, mà không bắt buộc đăng ký.

Tôi có thể ổn với việc lưu trữ dữ liệu khác nhau dưới dạng mật khẩu - điều quan trọng là lấy dữ liệu. Mặc dù PassPack có giao diện 'chia sẻ', nhưng nó sẽ buộc khách hàng đăng ký. Tôi đang tìm kiếm thứ gì đó đơn giản hóa mã hóa khóa công khai / riêng tư để tôi có thể nói với khách hàng: "Đừng gửi e-mail cho tôi, chỉ cần truy cập ___.com/tjlyussy và điền vào biểu mẫu."

Tôi đã bỏ lỡ bất cứ trang web nào làm điều đó?

untagged 
Tim Lyicate
nguồn
1
Tôi đang xây dựng điều này cho bản thân và khách hàng, nhân viên và đối tác của tôi; nếu không ai trả lời tôi đoán có một doanh nghiệp đã sẵn sàng để xảy ra ...
Devin Ceartas
@Devin Vâng, đó là những gì tôi đang nghĩ, tôi chỉ tìm kiếm một giải pháp hiện có trước khi thực hiện một bài viết nào đó. Bạn đi bao xa
Tim Lyussy
Chỉ cần nghĩ rằng tôi đã chỉ ra, đã tìm thấy một bài đăng liên quan trên siêu người dùng ( superuser.com/questions/255/ ,), sau khi đăng ở đây, nhưng không thấy bất cứ điều gì với tính năng 'yêu cầu' mà tôi đang tìm kiếm.
Tim Lyussy
Các thư viện tiền điện tử của @Devin PassPack được mở nguồn, nhưng toàn bộ hệ thống của Clipz đã mở ( clipperz.com/open_source/clipperz_community_edition ), có lẽ đó là nơi khởi đầu tốt?
Tim Lyussy
Đây là một thư viện JS khác ( pidder.com/pidcrypt ) và dường như nó là một phần của trang web quản lý mật khẩu dựa trên web khác. Vì thư viện hỗ trợ RSA (passpack sử dụng AES) nên họ có thể đang làm việc trên công khai / riêng tư 'gửi mật khẩu'.
Tim Lyussy

Câu trả lời:

3

Đã từng làm việc cho các công ty "dịch vụ được quản lý" trong quá khứ, tôi đã tìm kiếm một cái gì đó như thế này nhưng không bao giờ tìm thấy nó. Tôi đã không có thời gian hoặc thiên hướng để viết một thứ như vậy kể từ khi bắt đầu kinh doanh riêng của mình, nhưng chắc chắn có một thị trường cho nó. Nó chắc chắn sẽ có ích cho việc sử dụng nội bộ trong một tổ chức CNTT có hơn 1 người.

Tôi đã thấy quá nhiều "giải pháp" được sử dụng những thứ như "Mật khẩu an toàn" không có cơ chế kiểm toán mạnh (hoặc bất kỳ). Thật là một nỗi đau lớn khi thay đổi tất cả mật khẩu trong "an toàn" khi ai đó rời công ty. Giữ mật khẩu được lưu trữ phía máy chủ với các cơ chế truy cập chi tiết và theo dõi kiểm toán sẽ giúp cuộc sống dễ dàng hơn rất nhiều trong trường hợp như vậy.

Các tính năng mà tôi muốn bao gồm:

  • Xác thực cho người dùng cá nhân vào cơ sở dữ liệu sao cho có thể tạo ra dấu vết kiểm toán. Lý tưởng nhất là hệ thống xác thực sẽ sử dụng xác thực HTTP đơn giản.

  • Tính năng "truy cập mà không cần đăng ký" ("yêu cầu") của bạn nghe có vẻ như sử dụng một URL duy nhất làm "phím tắt" để bỏ qua xác thực cho một thông tin xác định có thể truy cập một mật khẩu. Điều đó nghe có vẻ khá đơn giản để thực hiện. Khi bạn tạo thông tin xác thực sử dụng một lần đó, bạn nên có một số loại siêu dữ liệu để mô tả lý do tại sao thông tin đăng nhập được tạo (để báo cáo).

  • Các báo cáo cho thấy những mật khẩu nào được truy cập bởi người dùng chỉ cho phép thay đổi mật khẩu liên tục khi ai đó rời công ty. Một khi dữ liệu nằm trong cơ sở dữ liệu, việc này rất dễ dàng.

  • Ngày hết hạn mật khẩu. Tôi sẽ sử dụng chúng để điều khiển các tập lệnh để thực hiện xoay mật khẩu tự động và đăng ký mật khẩu mới cho hệ thống. Thường thì tôi có những thứ như mật khẩu tài khoản dịch vụ mà tôi không muốn phải tuân theo các yêu cầu lão hóa mật khẩu của hệ điều hành, nhưng đồng thời, tôi muốn thay đổi mật khẩu một lần nữa.

Một back-end cơ sở dữ liệu với giao diện CRUD web được gói trong SSL nên hoạt động tốt cho việc này.

Không nên làm quá nhiều việc để kết hợp một thứ gì đó nhanh chóng và bẩn thỉu, nhưng làm cho nó thực sự bóng bẩy và sạch sẽ (với API khách hàng đẹp) có lẽ sẽ là một công việc.

Evan Anderson
nguồn
Âm thanh như một hệ thống khá mạnh mẽ, trong khi tôi chỉ tìm kiếm một hệ thống người dùng duy nhất (với tư cách là nhà tư vấn) danh sách tính năng của bạn toàn diện hơn nhiều. Về tính năng yêu cầu, tôi không tìm kiếm một lần truy cập vào mật khẩu, chỉ là khả năng thêm mật khẩu. Vì vậy, một khách hàng có thể điền mật khẩu, để làm gì, v.v., sau đó mã hóa bằng khóa công khai của tôi, vì vậy họ đang 'gửi' cho tôi thông tin đăng nhập một cách an toàn , nhưng tôi đang tìm kiếm một cái gì đó đơn giản cho họ).
Tim Lyussy
Oh! Tôi hiểu nhầm tính năng yêu cầu của bạn. Những gì bạn đang mô tả, có thể đặt mật khẩu vào cơ sở dữ liệu, nghe cũng rất tiện dụng! Đoán nó sẽ giúp nếu tôi đọc mọi thứ, eh? > cười <
Evan Anderson
Lưu ý phụ: Tôi sẵn sàng ném 500 đô la cho ai đó đã phát triển một thứ như vậy với giấy phép theo kiểu BSD hoặc GPL. Bất cứ ai quan tâm nên liên hệ với tôi ngoại tuyến và chúng tôi có thể nói về việc làm một tài liệu yêu cầu và hợp đồng cho công việc.
Evan Anderson
2

Chúng tôi sử dụng thư viện pidCrypt đã nói ở trên trong pidder ( https://www.pidder.com ) - một nền tảng dựa trên web tập trung vào việc quản lý và chia sẻ bí mật (mật khẩu, tin nhắn, thông tin nhận dạng, v.v.) một cách an toàn.

Chúng tôi đã có một tính năng "dropbox" trong danh sách việc cần làm của mình, mặc dù có ít ưu tiên và được lên lịch để phát hành sau. Sau khi vấp phải câu hỏi này, chúng tôi đã quyết định thực hiện nó khi bắt đầu phiên bản beta mở vào cuối năm nay.

Vì vậy, trong khi các tính năng chính sẽ yêu cầu đăng ký, thì đó cũng sẽ là một "dropbox" nơi mọi người có thể gửi tin nhắn được mã hóa cho người dùng đã đăng ký miễn là họ biết URL dropbox của mình.

Giô-na
nguồn
Dù sao để có được trong bản beta riêng tư?
Tim Lyussy
@Tim Chắc chắn, chỉ cần gửi email cho chúng tôi đến địa chỉ được cung cấp tại pidder.com/en/impressum.html
Jonah
Trông rất tốt - một khi bạn có dropbox, nó sẽ giống như những gì tôi đang tìm kiếm.
Tim Lyussy
@Tim: Dropbox hiện có sẵn và pidder là phiên bản beta mở. Cho chúng tôi biết bạn nghĩ gì.
Giô-na
1

Có ít nhất hai trình quản lý mật khẩu trực tuyến là phần mềm miễn phí:

W3PW

http://w3pw.sourceforge.net/

Clip

http://www.clipperz.com/open_source/clipperz_community_edition

Cả hai đều trông khá tốt (chưa sử dụng chúng).

Tính năng duy nhất còn thiếu, theo như tôi có thể nói, là khả năng thêm mật khẩu mà không cần có tài khoản (nếu tôi hiểu đúng về bạn).

Tuy nhiên, điều này không quá khó để thêm vào, vì vậy có thể có ý nghĩa khi xây dựng trên một trong những sản phẩm này. Rốt cuộc, đó là điểm của phần mềm miễn phí :-).

Một cách sẽ là triển khai một tính năng cho phép bạn giới hạn người dùng thêm mật khẩu mới. Sau đó, bạn chỉ có thể tạo người dùng "addpassword" bằng mật khẩu mặc định (hoặc trống) và gửi nó cho khách hàng (hoặc triển khai một tính năng để tạo URI xác nhận trước cho bạn, vì vậy bạn chỉ cần gửi liên kết). Điều đó sẽ hoạt động và được an toàn ...

sleske
nguồn
0

Một giải pháp tôi đã tìm thấy (chỉ cần lấy mật khẩu) là mã hóa nó trong javascript, lấy dữ liệu được mã hóa (qua email / trình duyệt) sau đó giải mã thủ công cục bộ (để dữ liệu không được mã hóa không bao giờ di chuyển không được bảo mật). Nó không được đánh bóng, nhưng về cơ bản nó sẽ giống như việc khách hàng mã hóa và gửi mật khẩu - chỉ họ mới có thể làm điều đó một cách đơn giản dưới dạng web.

Đây là một ví dụ .

Tim Lyicate
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.