基于Web的（和加密的）密码/许可证/等等数据库

寻找一个系统来存储我作为顾问/合同程序员使用的许多凭证。虽然我知道我可以在桌面上使用KeePass或类似产品，或者将PassPack之类的东西用于基于Web的（客户端加密）密码存储，但甚至Evernote也可以用于为每个客户端/项目创建一个“笔记本”，并加密敏感数据-我正在寻找的是一项提供以下服务的服务：

• 存储不同的凭证（WPA密钥，软件许可，Amazon API密钥）。
• 请求凭据的安全方式，而无需强制注册。

将各种数据存储为密码可能会好起来的-重要的是获取数据。PassPack具有“共享”界面，但会强制客户端进行注册。我正在寻找简化公钥/私钥加密的方法，因此我可以告诉客户：“不要通过电子邮件将其发送给我，只需转到___.com/tjlytle并填写表格即可。”

我是否错过了那个网站？

过去曾在“托管服务”公司工作，我一直在寻找类似的东西，但从未找到。自开始自己的事业以来，我没有时间或爱好写这样的东西，但是绝对有市场。对于超过1人的IT组织，内部使用肯定也很方便。

我已经看到太多使用诸如“密码安全”之类的，没有强大（或任何）审核机制的“解决方案”。当有人离开公司时，更改“保险箱”中的所有密码是一个巨大的痛苦。通过细粒度的访问机制和审计跟踪将密码存储在服务器端，在这种情况下会使工作变得更加轻松。

我想要的功能包括：

• 对单个用户的数据库身份验证，以便可以生成审核跟踪。理想情况下，身份验证系统将使用普通的HTTP身份验证。

• 您的“无需注册即可访问”（“请求”功能）听起来像是使用唯一的URL作为“快捷方式”来绕过可访问单个密码的给定凭据的身份验证。这听起来很容易实现。创建一次性使用凭证时，您应该具有某种元数据来描述创建凭证的原因（用于报告）。

• 报告显示哪些用户访问了哪些密码，仅当某人离开公司时才允许更改必需的密码。一旦数据位于数据库后端，这很容易。

• 密码到期日期。我将使用它们来驱动脚本以执行自动密码轮换以及将新密码签入系统。通常，我不想让服务帐户密码受到操作系统密码过期要求的限制，但与此同时，我希望不时更改密码。

具有Web CRUD接口且全部封装在SSL中的数据库后端应该可以正常工作。

快速而又肮脏的东西整合在一起并不需要太多的工作，但是（使用不错的客户端API）使其变得真正干净和整洁可能会有些工作。

我们在pidder（https://www.pidder.com）中使用上述的pidCrypt库，该库是基于Web的平台，致力于安全地管理和共享机密信息（密码，消息，身份信息等）。

我们已经在待办事项列表中添加了“投递箱”功能，尽管优先级较低，并计划在以后的版本中发布。遇到这个问题后，我们决定在今年晚些时候的公开测试版开始时实施它。

因此，尽管主要功能需要注册，但也将有一个“投递箱”，任何人只要知道他或她的投递箱URL，便可以将加密的消息发送给注册用户。

至少有两个在线密码管理器是免费软件：

W3PW

http://w3pw.sourceforge.net/

快船队

http://www.clipperz.com/open_source/clipperz_community_edition

两者看起来都不错（还没有使用过）。

据我所知，唯一缺少的功能是无需帐户即可添加密码的能力（如果我正确理解了您的话）。

不过，添加起来应该不太困难，因此在其中一种产品上构建它可能是有意义的。毕竟，这就是自由软件的重点。

一种方法是实施一项功能，该功能使您可以限制用户添加新密码。然后，您可以只创建一个具有默认（或空）密码的“ addpassword”用户，并将其发送给客户端（或实施一项功能来创建一个对您进行预身份验证的URI，以便您可以发送一个链接）。那应该工作并且安全...

我发现的一种解决方案（仅用于获取密码）是使用javascript对其进行加密，（通过电子邮件/浏览器）检索加密的数据，然后在本地手动对其进行解密（因此未加密的数据永远不会传输不安全的数据）。它没有完善，但实际上与让客户端加密并发送密码相同-只有他们可以简单地以Web形式进行操作。

这是一个例子。

我发现LastPass是我的密码的绝佳密码管理器。查看功能列表。

尽管我也在寻求最好的（但负担得起的）企业级密码管理器。