tl;dr: Я увидел в работе всё нижеописанное на сайте passpack.com, но его код закрыт – нельзя провести аудит кода и нельзя захостить у себя такой же. Ищется опенсорсный аналог.
Сейчас стали модными всякие ownCloud, MediaGoblin, GitLab и прочие хорошие вещи с веб-интерфейсами, которые можно захостить у себя на сервере (это называется self-hosted, aka on-premise, как подсказал GitLab) и опционально сделать доступными из Интернета, а не только локалки (либо VPN).
В то же время стала модной почта с шифрованием в браузере, например ProtonMail.ch или Whiteout.io, которая работает по следующему принципу: Сначала пользователь вводит свой логин и пароль от сайта, которые проверяются сервером, а потом в браузер загружаются зашифрованные каким-нибудь алгоритмом данные (условно – блоб), который может открыть только юзер с правильным паролем. Пароль от блоба серверу неизвестен. Такой информационной системе можно доверять при выполнении двух условий:
1) Проверка алгоритма шифрования данных юзера (в данном случае почты) подтвердила достаточную его надёжность.
2) Аудит скриптов, исполняемых браузером, подтвертил отсутствие в нём серьёзных ошибок, дыр и сливов данных.
Что я, собственно, ищу: систему для хранения паролей и других конфиденциальных данных, которая сочетала бы первый тип сервисов со вторым – чтобы, во-первых, можно было захостить у себя, во-вторых, чтобы сервер не мог те данные расшифровать (т.е. взлом сервера не означал бы компрометацию данных в блобе), и, в-третьих, владельцу данных было максимально просто получить к ним доступ при достаточном уровне безопасности. Зонды в браузерах и ОС – отдельная тема для разговора, и её прошу пропустить в комментариях.
Если ничего подобного нет, то предлагайте то же самое, но без доступа через браузер, либо идеи о том, как сваять своё. Сейчас использую публичный ownCloud, где лежит kdb для KeePassX. Минусы:
1) Не нравится то, что для него нужно ставить софтину (а иногда доступ нужен с чужих машин, где софт поставить нельзя, или на это нет времени).
2) Доверие к публичному ownCloud не безгранично. Надеюсь только на стойкость шифрования софта и длину пароля. Если переехать на свой сервер, то не доверять можно разве что хостеру, так что это не такая уж и большая проблема.
3) По причине №2 на ownCloud я храню только часть паролей (некритичные), остальные – на флэшке. Её можно забыть и остаться без доступа к нужному ресурсу.
Плюсы:
1) Работает без доступа к сети, kdb можно носить на флэшке.
2) Это же KeePassX.
