集中式本地托管基于web的密码管理器

Question

在我们公司，我们有100多个雇主，每个人每天都使用几个在线应用程序。要访问所有这些站点，他们需要一个密码，这个密码现在是非常不安全地存储的。因此，我计划部署一个集中的密码管理器，可以通过网络浏览器访问我们的局域网。

我读了一点点，然后我发现基于本地部署的、基于web的开源密码管理器非常罕见。我找到了一个名为RatticDB的密码，但不幸的是，它以纯文本存储所有密码。他们建议加密我不喜欢的数据卷。

有人能给我一个可能的和可替代的ratticDB加密。或者我的appdev说他可以用加密来开发一个，但我担心质量。我应该和他一起去吗？

Answer 1

以下是我迄今为止(2016年7月)评估过的工具列表。

sysPass

sysPass是一个基于PHP的密码管理器，用于商业和个人使用。

• CBC模式下的AES-256加密
• 从表单发送密码的RSA
• 双因素认证
• HTML5与Ajax接口
• 用户、组和配置文件管理(最多20个访问级别)
• MySQL、OpenLDAP和Active身份验证
• 自定义字段
• 通过电子邮件和事件日志发出活动通知
• 帐务历史
• 多语言
• API接口

Vaultier

安全地存储和共享密码，甚至与你一起工作的人共享文件！有一个免费的社区版本和主机Saas解决方案。

https://www.vaultier.org/

Teampass

Teampass是一个协作密码管理器

帕斯波特

通道螺栓是团队的开源密码管理器。它允许安全地共享和存储凭据。例如，您办公室的wifi密码、路由器的管理员密码或组织的社交媒体帐户密码，所有这些都可以使用Passbolt进行安全保护。

Passbolt不同于其他密码管理器，因为：

• 它是免费的，开源的。
• 它尊重隐私
• 它主要是为团队而不是个人设计的。
• 它基于OpenGPG，一种经过验证的密码标准。
• 这对于新手和It专业人员来说都很容易使用。
• 由于它的restful，它是可扩展的。
• 有Chrome和Firefox扩展

团队密码管理器

是基于PHP的组密码管理软件。

• 细粒度组策略
• 多个项目和子项目密码组。
• LDAP/AD集成

Answer 2

您正在寻找的东西听起来像是特权访问管理--一个存储管理和其他非用户凭据的中央数据库，并允许授权用户“检查”它们以供使用。此类系统通常会以编程方式更改目标系统上的凭据，以防止在授予访问权限的窗口之外重复使用。

这类软件最突出的例子是CyberArk。您将它安装在您的网络上，告诉它如何对用户进行身份验证，然后开始在其中填充凭据，如果可能的话，告诉它如何“管理”凭据。它可以配置为定期(例如，每60天一次)，在使用后，或您喜欢的任何时候进行更改。

CyberArk的竞争对手包括戴尔特权密码管理器和BeyondTrust PowerBroker。而以下是与赛博方舟“竞争”的更广泛的产品清单“，从本地单用户到云多用户，您可能会在这个列表中的某个位置找到适合您的需求的匹配。

OpenIAM访问管理器是开源的，它可能会提供您想要的功能--但是OpenIAM解决了身份管理领域的一个范围更广的问题，所以我不确定它是否适合于您所需要的更有限的功能。

Answer 3

您可能需要查看保险库。金库是一个开放源码工具，它提供了可以通过REST访问的集中式秘密存储。它有各种身份验证方法(如auth令牌或证书)，并提供可用于授权的策略。

请记住，退一步看一下您的总体模式是个好主意。在您的帖子中，您提到“要访问所有这些站点，他们需要一个密码，而这个密码现在存储得非常不安全”，这似乎意味着他们使用的是共享密码。这本身是不安全的；如果您有一个共享密码，那么安全地存储它不会使它更加安全。每一个使用它的人都可能是一个失败的地方。如果您谈论的是使用自己的密码来访问各种外部服务的人，那么他们在本地使用类似lastpass之类的东西可能更有意义。否则，如果您让用户访问您的工具，那么拥有一个好的SSH密钥结构将比拥有共享密码安全得多(用户生成一个密钥并向您发送公钥，并使用他们的私钥对服务进行身份验证)。

金库是一个很好的工具，但请确保您在这里质疑您想要将哪些信息存储在集中式秘密管理系统中的假设，以及这是否是最好的方法。