寻找一个系统来存储我作为顾问/合同程序员使用的许多凭证。虽然我知道我可以使用 KeePass 或类似软件用于桌面使用,或者使用 PassPack 等软件用于基于 Web(客户端加密)的密码存储,甚至可以使用 Evernote 为每个客户/项目创建一个“笔记本”,并加密敏感数据 - 我正在寻找一种提供以下功能的服务:
- 存储不同的凭证(WPA 密钥、软件许可证、Amazon API 密钥)。
- 安全的方式要求凭证,无需强制注册。
我可能可以存储各种数据作为密码——最重要的是获得数据。虽然 PassPack 有一个“共享”界面,但它会强制客户注册。我正在寻找一种可以简化公钥/私钥加密的方法,这样我就可以告诉客户,“不要通过电子邮件发送给我,只需访问 ___.com/tjlytle 并填写表格即可。”
我是否错过了任何有此类功能的网站?
答案1
过去,我曾在“托管服务”公司工作过,一直在寻找类似的东西,但从未找到。自从创办自己的公司以来,我既没有时间也没有意愿去写这样的东西,但它肯定有市场。对于拥有超过 1 人的 IT 组织内部使用来说,它肯定也非常方便。
我见过太多使用“密码保险箱”之类的东西的临时“解决方案”,这些解决方案没有强大的(或任何)审计机制。当有人离开公司时,更改“保险箱”中的所有密码是一件非常麻烦的事情。在这种情况下,将密码存储在服务器端,并配备细粒度的访问机制和审计跟踪,将使生活变得容易得多。
我想要的功能包括:
对数据库中的个人用户进行身份验证,以便生成审计线索。理想情况下,身份验证系统将使用普通的 HTTP 身份验证。
您的“无需注册即可访问”(“请求”功能)听起来像是使用唯一的 URL 作为“快捷方式”来绕过可以访问单个密码的给定凭据的身份验证。这听起来很容易实现。当您创建一次性使用的凭据时,您应该有某种元数据来描述创建凭据的原因(用于报告)。
报告显示哪些用户使用了哪些密码,以便在有人离开公司时仅更改必要的密码。一旦数据进入数据库后端,这很容易。
密码过期日期。我会用它们来驱动脚本执行自动密码轮换和将新密码签入系统。我经常会遇到一些服务帐户密码之类的事情,我不想让它们受到操作系统密码过期要求的约束,但同时,我希望偶尔更改一下密码。
全部用 SSL 包装的带有 Web CRUD 接口的数据库后端应该可以很好地完成此工作。
将一些粗糙的东西拼凑在一起不应该花费太多的工作量,但要使其真正精致和干净(使用良好的客户端 API)可能还需要一些工作。
答案2
我们在 pidder 中使用前面提到的 pidCrypt 库(https://www.pidder.com)——一个基于网络的平台,专注于安全地管理和共享秘密(密码、消息、身份信息等)。
我们的待办事项列表中已经有了“Dropbox”功能,尽管优先级不高,计划稍后发布。在偶然发现这个问题后,我们决定在今年晚些时候的公开测试版开始时实现它。
因此,虽然主要功能需要注册,但也将有一个“Dropbox”,任何人只要知道注册用户的Dropbox URL,就可以向其发送加密消息。
答案3
至少有两个免费在线密码管理器软件:
威盛
Clipperz
http://www.clipperz.com/open_source/clipperz_community_edition
两者看起来都很好(尚未使用过)。
据我所知,唯一缺少的功能是无需账户即可添加密码(如果我理解正确的话)。
不过,添加这个功能应该不会太难,因此在这些产品上进行构建可能是有意义的。毕竟,这就是免费软件的意义所在 :-)。
一种方法是实现一项功能,让您限制用户添加新密码。然后,您可以创建一个具有默认(或空)密码的“addpassword”用户,并将其发送给客户端(或实现一项功能来创建一个对您进行预身份验证的 URI,这样您就可以发送链接)。这应该可行且安全...
答案4
我已经发现最后通行证成为我密码的出色密码管理器。查看功能列表。
虽然我也在寻找最好的(但价格实惠的)企业级密码管理器。