Webes jelszókezelő

Security-all

Sziasztok

A KeePass helyett kellene egy webről kezelhető jelszó adatbázis.
Több felhasználó esetén kényelmetlen a KeePass fájl lockolása. Ezt szeretnénk elkerülni.
Jó volna, ha a tudna jogosultság kezelést is (Pl. Mancika szintű, vezető szintű, IT szintű jelszavak hozzáférhetőségének beállítása).
Kinél mi vált be erre a feladatra?

Előre is köszönöm!

( uniquevisitor | 2014. 05. 05., h – 12:26 )

Ez engem is érdekelne, ha van androidos klienssel rendelkező, az lenne a legjobb. köszi az ötleteket.

( ptoth | 2014. 05. 05., h – 12:58 )

Javaslatom: https://code.google.com/p/webpasswordsafe/
Maven, java, böngésző, boldogság.

Nem rossz, nagy igénye nincs, a dokumentáció jó.
Magyarra egy property fájlon keresztül tanítható (csak a paramétert kell átcsapni).

Az egyetlen gyengéje, hogy van benne egy initial admin account ami mindent üt, az lehetőleg legyen a tiéd és akkor minden rendben lesz. :D

Nem buktam meg. Csak az ötöshöz hiányzott még négy jegy...

Az "inital admin" account legyen shared secret (2-3 főre elég szétosztani, aztán a részleteket mindenki leírja egy számozott papírra, borítékba berak, biztonságos helyen tárol. Ugyanis neki, mint az elektronikus jelszószéf üzemeltetőjének a széf teljes tartalmához nem kell, hogy jogosultsága legyen, sőt.

Meg kell adni az admin jelszót, ott áll a három ember. "A" beír legalább négy karaktert (de lehet 6-8 is, a lényeg, hogy meg tudja jegyezni), leírja az "1" számú papírlapra, összehajtja, beteszi a borítékba. "B" ugyanígy tesz, csak ő a "2" számú papírra írja fel a saját részét, "C" ugyanezt teszi, csak a "3" számú cetlivel. A jelszó második begépelésekor szintén egymás után gépelik be a saját részüket úgy, hogy a többiek ne lássák.
Mivel erre a jelszóra - normálisan felépített rendszer és megfelelően kiosztott feladatkörök esetében - csak katasztrófahelyzetben van szükség, így ez a megoldás teljesen jó a "mindent láthat" technikai jogosultság elkerüléséhez.

spec a webpass ilyen szempontból szar, mert egyrészt van egy encryption key, amivel az adatbázisban titkosítja a cuccokat, erre egyben van szüksége futáskor, és nem lehet induláskor bepötyögni, szóval rendszeradmin hozzáfér. Ennek ismeretében egy adatbázis dumpból nyilván minden kinyerthető.

Ráadásul egy admin a configban adminná tudja ütni magát a webfelületre is.
---
Az alkalmazásban viszont ennek megfelelően nyugodtan ki lehet ütni az inital admin accot, és odaadni másnak (vagy senkinek sem, csak on-demand).

Szóval webről nincs baj, a futtatókörnyezetnél viszont észnél kell lenni.

Minek kell root jelszó? A root technikai user, direktben maximum akkor kell vele belépni, ha sudo joggal rendelkező user nem érhető el, vagy ha összefosimosizza magát a rendszer, és ki kell vakarni ebből a kétes matériából :) Minden másra ott van a sudo.
Ha nekem root-jelszavakat kéne megjegyeznem a csillió+1 géphez... korrekten összerakott sudoers, ahol lehet, ott központilag managelve...

( Proci85 v | 2014. 12. 30., k – 22:27 )

Ismét felhozom a topikot, mert még nem találtam meg az igazit.
Egyszerű, minden böngészőben futó okosság kellene. Legjobb volna egy tisztán php-ban megírt, mysql-ben dolgozó megoldás.

Teljesen jogos, alapból én is így lennék, de kicsit speciális a felhasználás.
20 fős cég, ahol vezetőség, IT, adminisztráció és szerelő csapat van. Ez rögtön 4 jogosultsági csoport.
Azt találtam ki, hogy kínomban írok egyet magam, csak nem biztos, hogy kellően biztonságos lenne.

2 utat látok:
KeePass2.x ami úgy látom, hogy tud ftp alapú szinkront és közben gondolom mergel. Minden user eszközén beállítani és maguknak szinkronizálnak csoportonként 1-1 fájlt vagy ha lehet, akkor ezt program indítással triggereljük. Jó abból a szempontból, hogy a szerelő csapat valamikor a puszta közepén van, on-line elérés necces, így a PHP alapú nem az igazi. Oda ez jobb. Hátránya, hogy min. 4 fájl kell és ha az IT-s rá akar mindenre nézni, 4 fájlt kell kezelnie, esetleg a 4-ből lehet egy global-t folyamatosan frissen tartani automatizálva? Az volna a legjobb.

A másik út a PHP, ahol minden felvett jelszóhoz egy csoportot rendelek és csak a csoport tagjai olvashatják. A felület min. htaccess védelemmel lenne ellátva, de nem kizárt, hogy belső hálón marad és VPN-nel érhető csak el.
Kérdés, hogy hogyan legyenek SQL-ben tárolva a jelszavak. encrypt/decrypt minimum, de legjobb az volna, ha a felület login jelszava lenne a kulcs (vagy egy része) az sql-ben tárolt jelszavak visszafejtéséhez. Viszont 4 csoport, ez min.4 login és még nem is különböztettük meg az usereket egyenként. Nem tudom melyik az a kódolási technika, ami több jelszóval is visszafejthető...a cryptsetup/dm-crypt is hasonlóan működik, ahol a titkosított partícióhoz több kulcs fájlt és jelszót tudsz adni. Mindegyik nyitja. Egy ilyen kódolási technika azt gondolom elég biztonságos lenne, hisz amíg nincs meg az érvényes legalább 1 helyes login, a password list nem fejthető vissza.

Lehet, hogy én nem igazodok még ki rajta, de úgy látom, hogy megosztás csak fizetős verzióban van. 24$/fő/év. 20 fő esetén 480$. Ez mai árfolyammal ~125.000 Ft. Ugyan nem az én zsebemből megy, de kicsit sokallom erre a feladatra ezt a kiadást és tartok tőle, hogy a vezetés is :)

Azért becsüld meg, hogy mennyi idő lenne a PHP-s saját verzió megcsinálása (beleértve a rendszer folyamatos karbantartását - üzemeltetését), szorozd 2-vel, hogy közelebb legyen a valós ráfordításhoz ( :) ), és szorozd fel a bruttó órabéred * 1.3-mal az óraszámot.

Meg lennék lepve, ha csak az üzemeltetés nem lenne több, mint a lastpass éves díja.

Ha mindenképpen self hosted verziót akarsz, az alább linkelt mitro.co nekem igéretesnek tűnik, de még annak a TCO-ja is nagyobb lesz mint a LastPass-é.

Egy érv a self hosted, open-source megoldás mellett, hogy csökken a cég külső függősége beszállítóktól. Ugyanakkor ellenérv, hogy ha csak nem tolsz bele nagyon sok energiát, akkor valójában nem lesz biztonságosabb, mint pl. a LastPass.

+1

Az a 125.000 forint egy junior, de értelmes fejlesztő egy heti bérköltsége. Kérdés, hogy öt embernap alatt sikerül-e lefejleszteni, tesztelni és beüzemelni a terméket, illetve ebből az öt napból mennyit tudtok félretenni karbantartásra, javításokra, stb.

Szóval nem olyan egyértelmű, hogy mi a drága.

( AiRLAC v | 2014. 12. 30., k – 23:11 )

Mi a gond a Keepass-al? Tud merge-t pl. nálunk az megoldotta a megosztott használatot.

Ha van egy fájlom és valaki megnyitotta (és nyitva tartja), a másik usernek csak read-onlyban javasolja használni.
Nem állandóan, de előfordulhat, hogy egyszerre írjuk-olvassuk a fájlt. Gondolom ezt nem tudja lekezelni, mivel egymásra mentjük a változásokat és az utoljára mentő nyer :)

mod: 2.x már okosabb, nem erőlteti a lockolást, így megnézem mit tud, köszi. A 4 csoport kezelése viszont még mindig fenáll sajnos.

( zoner | 2014. 12. 31., sze – 12:13 )

mitro.co

Firefoxon voltak gondjai, de az ujabb Firefoxal mukodik. A felsoroltakat mind tudja, open source.

( haspokember | 2014. 12. 31., sze – 12:39 )

Teljesen read-only modszer (garantaltan lockolasmentes :)):
https://getvau.lt/
es a passphrase-eket egyenkent fajlban tarolod, a megfelelo permissionokkel.
Minden mas publikus informacio, mehet a company wikire vagy akar postitre a monitor melle.