我正在寻找基于 Web 的“保险库”,用于存储多个用户可以访问的客户端密码。不是密码管理器,但它应该是安全的、受密码保护的在线存储,可存储一个或多个文件。
答案1
Clipperz是我之前考虑过的一个,但还没有亲自测试过。它既有托管版本,也有源代码下载并安装在您自己的 Web 服务器上。
开源(至少在大多数情况下 - 我不确定可下载版本是否与 F/OSS 版本相同或是否有额外的功能)的优势在于,如果您愿意,您可以检查代码以确保它至少_尝试*像它声称的那样安全,而不仅仅是使用 ROT-13!
答案2
(这与其说是一个答案,倒不如说是一个“哇,我也喜欢这个”的陈述。我将其标记为社区 Wiki。)
我还没有找到任何可以满足我需求的东西。如果你打算以多用户身份使用它(个人密码管理除外),我想你会发现你也需要我想要的功能。
我发现所有密码存储系统都缺少一个功能,那就是生成特定用户密码访问的审计跟踪。我遇到的每个密码管理器都假设访问数据库需要某种单一身份验证,并且不维护每个用户的数据库访问日志。
考虑一下这种情况:几年前,当我在一家“托管 IT 服务”公司工作时,我们将每个客户的密码保存在一个特定于客户的“密码保险箱”文件中,并使用唯一的密码(保存在另一个“密码保险箱”中)。技术人员第一次去客户现场时会向其经理索取客户的“安全密码”,从此就可以访问该客户文件中的所有密码。
当我们的技术人员离开公司时,有必要更改客户文件中引用的所有密码,因为离职技术人员可能会带走任何版本的文件。我们保留了审计线索哪个他们可以访问客户(这样我们就不必更改所有客户的所有密码),但这仍然很麻烦。
我希望看到一个基于 Web 的工具,后端是 LDAP 进行身份验证,允许通过浏览器中的 SSL 连接存储/检索密码。我希望报告功能能够回答这个问题“显示给定用户访问过的所有未更改的密码”,以便我可以拥有当该用户不再被允许访问时(合同结束、离开公司、被解雇等)必须更改的密码列表。我在上面使用了“托管服务”的比喻,但这在拥有多名员工的 IT 商店中同样重要。在我看来,当有人离开时必须更改每个系统中的每个管理密码是一件坏事。
另一个“绝妙”功能是 API,它允许我编写后端脚本来自动更改真实系统/设备中的密码,并使用新密码更新数据库。(通过脚本自动轮换不支持分布式身份验证的嵌入式设备中的凭据等...)
答案3
密码状态您可能会感兴趣 - 它允许安全存储个人密码,或供团队共享。全面审核个人 Active Directory 帐户,包括更改和查看密码。还有许多其他功能。