Как удобнее хранить пароли для веб-студии?

Question

[7h33xi1e]

Какой софт посоветуете использовать для хранения паролей, с распределением доступа? Какой предпочитают устанавливать обычно веб-студии?

Необходимо распределение прав на доступ, и хранение паролей локально.

Answer 1

[xmoonlight]

Во-первых, сам подход - неверный!
Для команды - раздаются эл. ключи (или сертификаты).
Ключи передаются по иному каналу связи, нежели используемому для авторизации.
Ключи раздаются ролям проекта (dev1,dev2) или конкретно пользователям проекта.
Паролем можно (выборочно или принудительно) защитить авторизацию (при желании) самим владельцем ключа без участия центра сертификации (координатора проекта).
Пароли не знает тот, кто выдал доступ, т.к. доступ предоставлен ключам.
Доступы, обычно: REST API, SSH аккаунты или OAuth.

Comments

[7h33xi1e]

интересный подход

[tazman_555]

7h33xi1e: верный подход. только так и надо делать. более того, с таким подходом в дальнейшем будет легко отследить кто что и где сделал или наделал (пакостей)

Answer 2

[WordPress WooCommerce]

У нас своя CRM система на базе WordPress https://github.com/systemo-biz/casepress

Там эта логика строится на основе двух механик:
1. Есть база объектов разбитая по рубрикам. Скажем сайты, фтп доступы, веб приложения, личные кабинеты и все что обычно используется нами в работе. У каждого объекта есть история изменений, конфигурация и т д
2. Есть процедура запроса доступов. Когда один специалист может запросить доступ. Потом реестр доступа хранится. И когда специалист увольняется, доступы по списку удаляются.

Answer 3

[Дмитрий Филимонов]

1. Любая программа для хранения паролей (например, KeePass или любая другая похожая). Их суть сведется к шифрованию файла БД симметричным алгоритмом.
2. Хранение этого самого файла где-нибудь: Dropbox, Яндекс.Диск, etc.

В итоге каждый сотрудник, имея эту программку, доступ до файла, получает доступ к паролям откуда удобно. Схема относительно безопасная на мой взгляд, но возможны чисто организационные утечки паролей.

Я несколько лет использую для себя KeePass + Dropbox (а бэкап БД можно делать на другом Dropbox-аккаунте), полет нормальный. Имею доступ к паролям с телефона/ноутбука/etc, помня при этом только 2 сложных пароля: до Dropbox и к файлу БД. Там же я и пароли генерирую, например.

Также никогда, ни в коем случае нельзя доверять к любым сервисам, которые заставляют пароли передавать/хранить у них (в незашифрованном виде).

Comments

[blueboar2]

KeePass хорошо, вот только есть ли у него распределение доступа? То есть, можно ли скажем дизайнерам показывать одни пароли, а админам другие? Понятно что можно завести два файла, но тогда пароли будут дублироваться.

[7h33xi1e]

blueboar2: определенно. у нас именно такие потребности. На KeePass мы работаем сейчас, и помимо проблем с доступом есть проблемы с синхронизацией при большом количестве людей

[blueboar2]

Я собственно к тому что тоже такую ищу, и вот, пока только KeePass нашел как и вы :)

[Дмитрий Филимонов]

Думаю, чтобы не было проблем с синхронизацией, нужна единая БД для всех с поддержкой транзакций. В таком случае подходят веб-решения, где пароль шифруется в браузере и отправляется на сервер. Мне всегда некомфортно, что такой сервис может исчезнуть вместе с паролями, хотя сама концепция нравится. Например, LastPass дает решение всех этих проблем.

И что касается доступа к паролю для разных групп пользователей: тут есть сложность, поэтому "маленькие" менеджеры типа KeePass это не умеют (и вряд ли будут). Подавляющее большинство из них работает на ассиметричном алгоритме - база шифруется мастер-паролем. Если нужно дать доступ к части другому пользователю, он должен знать этот мастер-пароль и никак иначе. В таком случае напрашивается вывод: держать общую базу данных с общим мастер-ключом, но оно неудобно + нельзя без проблем отсоединить одну сторону от доступа к паролям. Поэтому нужен механизм генерации общего ключа, который бы (ключ) был известен только лицам, участвующим в обмене, и система управления, которая бы могла регенерировать эти ключи, автоматически создавать общие БД и т.п. => нужен централизованный сервис, а поэтому проще всего использовать веб. LastPass, например, имеет систему общих папок и генерации общих ключей для них.

А еще лучше не иметь общих паролей, чтобы везде были индивидуальные аккаунты, конечно :)

Answer 4

[Mikhail]

консольная утилита pass

Comments

[blueboar2]

Это одному человеку можно. А если команда? Одному человеку можно одно, другому другое, и в разное время.

[Mikhail]

там есть git поддержка, кроме того можно смонтировать диски так что-бы в конечном результате всё было на одном сервере