Re: sistema de guardado de contraseñas

[fran]

Buenas a todos!

2015-08-14 7:59 GMT+01:00 Antonio Trujillo Carmona
:
> ¿Alguien conoce algún programa de guardado de contraseñas con interfaz web?
> Se trata de guardar las contraseñas de todos los servidores para que puedan
> ser consultadas por los técnicos.

Otro buen gestor de contraseñas web es: TeamPass (http://www.teampass.net/).

Pero hay que configurar bien los permisos, si no nadie ve lo que tiene
que ver xD

Saludos,
Francisco

Re: sistema de guardado de contraseñas

[Adrià]

On Tue, Aug 18, 2015 at 10:16:41AM +0200, Adrià wrote:

> 
> Humor negro a parte, existe un proyecto reciente de la gente de
> Hashicorp llamado Vault [0]. No tiene interfaz web pero sí ACLs, a

Por cierto, de casualidad he encontrado un plugin para Redmine que
integra Vault [0], de manera que, si usases la útlima rama de Redmine
lo podrías considerar.

Ten en cuenta que se ha publicado hace 12 horas, así que habrá que
estar atentos para ver si cumple las expectativas.


[0] http://www.redmine.org/plugins/vault

-- 
Adrià García-Alzórriz
0x09494C14
La probabilidad de que algo ocurra es indirectamente proporcional a
nuestro deseo de que ocurra.
-- Ley de Gumperson. 


signature.asc
Description: Digital signature

Re: OT Re: sistema de guardado de contraseñas

[Camaleón]

El Wed, 19 Aug 2015 08:18:34 +0200, Trujo escribió:

Bueno, pues así lo dejo (el formato, digo). Lo siento, pero me cuesta 
creer que sea tan complicado seleccionar el formato texto plano y ya 
hablamos en otro hilo largo y tendido sobre cómo hacerlo.

> Esto ya no es un debate sobre programas de linux
> sino sobre la seguridad en abstracto.
> Antes de dejar de atender este hilo (asta que tenga datos
> técnicos sobre el webkeepass que voy a probar) tengo que
> puntualizar varias cosas.
> 1 usar un correo publico por parte de las instituciones no
> compromete nada los datos de los usuarios si estos no se
> incluyen en los correos, esto es si quedo para una reunión con
> mi tutor mañana a las 10h esto no da datos, si se van ha enviar
> datos estos se pueden cifrar, de hecho la administración (en mi
> caso Andaluza) ya no usa los Faces para comunicarse con los
> probeedores, si no que lo hace por medio de coreo con un cifrado
> obligatorio para los proveedores, y estos pueden usar el
> servidor de correo publico que deseen.

No me refiero a eso, pero aún así los correos pueden contener datos de 
carácter personal (de los alumnos, sus notas, su NIF o datos de su 
domicilio...). Pero es que además, y esto es a lo que me refería, son los 
propios profesores los que se intercambian información sensible en hojas 
de cálculo compartidas (por supuesto también a través de mensajes de 
correos electrónicos), todo ello por supuesto usando los servidores/
servicios de Google y usando sus sistemas. Y todos esos datos "seguros" 
para Google y su big data son "oro puro" pero claro, los centros se 
ahorran el equipamiento y la administración local de esos sistemas, 
total...

> 2 Por ley (LOPD) los datos sanitarios ( y académicos también)
> son de máxima protección por lo que no pueden salir de la
> custodia de la administración, si se pueden subrogar la custodia
> en empresas que hayan firmado un compromiso de confidencialidad
> que, hasta la fecha, google se niega a firmar.

Pues eso díselo a las universidades, a ver qué acuerdos han firmado con 
Google. Y luego le preguntas a los profesores si saben algo de protección 
de datos, a ver qué te responden ;-)

Pista: ni saben lo que es ni les interesa. Aunque me consta que alguno sí 
ha preocupado por ese tema de meter Google hasta en la sopa.

En cuanto a los datos sanitarios, entiendo que te refieres a los datos 
que quieres compartir que no son datos de usuarios sino de administración 
de servidores (según has dicho, usuarios y contraseñas), y esos datos 
quedan fuera de ese ámbito o en cualquier caso comparten la misma 
situación que si los quieres subir a cualquier nube, llámese Google o 
Webkeepass.

> 3 El tema del acceso a los datos sanitarios no es trivial y voy
> a contar algo que presencie en persona.
> Estaba arreglando la red en la unidad de cobros exteriores (la
> que le pasa las facturas a las compañías de seguros privadas
> cuando se atiende a un paciente asegurado), estaban al habla con
> la compañía de una persona Belga que había sido atendida tras un
> accidente de trafico, se le reclamaba el coste de los servicios,
> la compañía reclamaba el historial del paciente, por que "en
> Belgica la ley le permite subir, bajar o rescindir la póliza de
> seguro según el historial sanitario (riesgo para la salud), el
> hospital se negaba a darselo porque la ley española lo
> prohíbe.
> Dar nuestros datos a una empresa cuyo negocio es vender datos es
> arriesgarse a que alguien le compre las contraseñas y acceda a
> los datos, seguro que las compañías de seguros pagarían millones
> por saber que es propenso, por ejemplo, a padecer del corazón
> para echarlo de las pólizas de vida, o subirle la póliza mucho y
> estoy seguro que entre ellas comparten esos datos.
> En fin que nada es seguro, pero como funcionario tengo que
> intentar que los datos estén lo mas seguros posibles, aunque
> esto de mucho trabajo.
>   
>   
> 

Creo que estamos hablando de otro tipo de datos.

Saludos,

-- 
Camaleón

OT Re: sistema de guardado de contraseñas

[Trujo]

  
  
El 18/08/15 a las 15:31, Camaleón
  escribió:


  El Tue, 18 Aug 2015 08:04:10 +0200, Trujo escribió:


  
El 17/08/15 a las 15:16, Camaleón escribió:


  El Mon, 17 Aug 2015 10:25:08 +0200, Trujo escribió:


A veces la soluciones sencillas son las que terminan siendo las más
eficientes. Crearos una cuenta de Gmail compartida para los
administradores que sois fijos y otra para los itinerantes, y vais
poniendo las claves a las que se deba tener acceso para cada uno de
ellos.



¿De verdad estarías contenta si las contraseñas de tus datos sanitarios
se guardaran en google?

  
  
¿Que no lo están ya? No sé si te has dado cuenta pero en España la 
mayoría de las universidades (por poner un ejemplo "visible") se han 
pasado a Gmail en lugar de mantener sus propios sistemas de correo como 
antaño ;-/

Pero respondiendo a tu pregunta, mi felicidad sería la misma que si 
tuviera que almacenar los datos en cualquier nube, tengan o no cifrado 
incorporado. La única forma de tener cierta garantía de seguridad y 
confidencialidad sería usando cifrado local pero tendrías el 
inconveniente del acceso a esos datos (habría que automatizar el 
descifrado al vuelo).

Los datos son sólo eso, datos. Sin contexto y sin acceso local de poco le 
van a servir al más avezado de los hackers.

Saludos,



Esto ya no es un debate sobre programas de linux
sino sobre la seguridad en abstracto.
Antes de dejar de atender este hilo (asta que tenga datos
técnicos sobre el webkeepass que voy a probar) tengo que puntualizar
varias cosas.
1 usar un correo publico por parte de las instituciones no
compromete nada los datos de los usuarios si estos no se
incluyen en los correos, esto es si quedo para una reunión con
mi tutor mañana a las 10h esto no da datos, si se van ha enviar
datos estos se pueden cifrar, de hecho la administración (en mi
caso Andaluza) ya no usa los Faces para comunicarse con los
probeedores, si no que lo hace por medio de coreo con un cifrado
obligatorio para los proveedores, y estos pueden usar el
servidor de correo publico que deseen.
2 Por ley (LOPD) los datos sanitarios ( y académicos también)
son de máxima protección por lo que no pueden salir de la
custodia de la administración, si se pueden subrogar la custodia
en empresas que hayan firmado un compromiso de confidencialidad
que, hasta la fecha, google se niega a firmar.
3 El tema del acceso a los datos sanitarios no es trivial y voy
a contar algo que presencie en persona.
Estaba arreglando la red en la unidad de cobros exteriores (la
que le pasa las facturas a las compañías de seguros privadas
cuando se atiende a un paciente asegurado), estaban al habla con
la compañía de una persona Belga que había sido atendida tras un
accidente de trafico, se le reclamaba el coste de los servicios,
la compañía reclamaba el historial del paciente, por que "en
Belgica la ley le permite subir, bajar o rescindir la póliza de
seguro según el historial sanitario (riesgo para la salud), el
hospital se negaba a darselo porque la ley española lo prohíbe.
Dar nuestros datos a una empresa cuyo negocio es vender datos es
arriesgarse a que alguien le compre las contraseñas y acceda a
los datos, seguro que las compañías de seguros pagarían millones
por saber que es propenso, por ejemplo, a padecer del corazón
para echarlo de las pólizas de vida, o subirle la póliza mucho y
estoy seguro que entre ellas comparten esos datos.
En fin que nada es seguro, pero como funcionario tengo que
intentar que los datos estén lo mas seguros posibles, aunque
esto de mucho trabajo.
  
  

Re: sistema de guardado de contraseñas

[AlexLikeRock]

Trujo wrote:
> El 17/08/15 a las 15:16, Camaleón escribió:>> El Mon, 17 Aug 2015 10:25:08 
> +0200, Trujo escribió:
>>
>>
>> A veces la soluciones sencillas son las que terminan siendo las más 
>> eficientes. Crearos una cuenta de Gmail compartida para los 
>> administradores que sois fijos y otra para los itinerantes, y vais 
>> poniendo las claves a las que se deba tener acceso para cada uno de ellos.
>>
>> Saludos,> ¿De verdad estarías contenta si las contraseñas de tus datos 
>> sanitarios
> se guardaran en google?


Alguien que le abra los ajos con una cachetada por dios! !!

¿como te atreves a confiarle tus contraseñas al espia mas grande del mundo?

-- 
Sent Using Firefox OS

Re: sistema de guardado de contraseñas

[Camaleón]

El Tue, 18 Aug 2015 08:04:10 +0200, Trujo escribió:

> El 17/08/15 a las 15:16, Camaleón escribió:
>> El Mon, 17 Aug 2015 10:25:08 +0200, Trujo escribió:
>>
>>
>> A veces la soluciones sencillas son las que terminan siendo las más
>> eficientes. Crearos una cuenta de Gmail compartida para los
>> administradores que sois fijos y otra para los itinerantes, y vais
>> poniendo las claves a las que se deba tener acceso para cada uno de
>> ellos.
>>
> ¿De verdad estarías contenta si las contraseñas de tus datos sanitarios
> se guardaran en google?

¿Que no lo están ya? No sé si te has dado cuenta pero en España la 
mayoría de las universidades (por poner un ejemplo "visible") se han 
pasado a Gmail en lugar de mantener sus propios sistemas de correo como 
antaño ;-/

Pero respondiendo a tu pregunta, mi felicidad sería la misma que si 
tuviera que almacenar los datos en cualquier nube, tengan o no cifrado 
incorporado. La única forma de tener cierta garantía de seguridad y 
confidencialidad sería usando cifrado local pero tendrías el 
inconveniente del acceso a esos datos (habría que automatizar el 
descifrado al vuelo).

Los datos son sólo eso, datos. Sin contexto y sin acceso local de poco le 
van a servir al más avezado de los hackers.

Saludos,

-- 
Camaleón

Re: sistema de guardado de contraseñas

[Camaleón]

El Mon, 17 Aug 2015 12:50:42 -0500, Aradenatorix Veckhom Vacelaevus
escribió:

> El 17 de agosto de 2015, 8:16 a. m., Camaleón escribió:
>> El Mon, 17 Aug 2015 10:25:08 +0200, Trujo escribió:
> 
>> A veces la soluciones sencillas son las que terminan siendo las más
>> eficientes. Crearos una cuenta de Gmail compartida para los
>> administradores que sois fijos y otra para los itinerantes, y vais
>> poniendo las claves a las que se deba tener acceso para cada uno de
>> ellos.
> 
> ¿y eso sería seguro?

No veo por qué no. 

El acceso lo gestiona Gmail (https) y las credenciales pueden ser 
compartidas (la misma para los integrantes de cada grupo) o individuales 
(cada usuario accede con la suya propia) para lo cual se podría generar 
alguna plantilla con Google Docs para compartir esos datos de los 
servidores.

Saludos,

-- 
Camaleón

Re: sistema de guardado de contraseñas

[Adrià]

On Tue, Aug 18, 2015 at 08:04:10AM +0200, Trujo wrote:
> El 17/08/15 a las 15:16, Camaleón escribió:
> > El Mon, 17 Aug 2015 10:25:08 +0200, Trujo escribió:
> >
> >
> > A veces la soluciones sencillas son las que terminan siendo las más 
> > eficientes. Crearos una cuenta de Gmail compartida para los 
> > administradores que sois fijos y otra para los itinerantes, y vais 
> > poniendo las claves a las que se deba tener acceso para cada uno de ellos.
> >
> > Saludos,
> >
> ¿De verdad estarías contenta si las contraseñas de tus datos sanitarios
> se guardaran en google?
> 

Claro, así la NSA tendrá un backup por si pasa algo.

Humor negro a parte, existe un proyecto reciente de la gente de
Hashicorp llamado Vault [0]. No tiene interfaz web pero sí ACLs, a
diferencia de KeePass [1] (debes usar distintos ficheros, uno para cada
grupo de usuarios) y pass [2], que son los sistemas que uso yo al
margen de las claves públicas.

[0] https://vaultproject.io/
[1] http://keepass.info/
[2] https://packages.debian.org/jessie/pass

-- 
Adrià García-Alzórriz
0x09494C14
El amor es la respuesta, pero mientras usted la espera, el sexo le
plantea unas cuantas preguntas.
-- Woody Allen. (1935-) Actor, director y escritor
estadounidense. 


signature.asc
Description: Digital signature

Re: sistema de guardado de contraseñas

[Trujo]

El 17/08/15 a las 15:16, Camaleón escribió:
> El Mon, 17 Aug 2015 10:25:08 +0200, Trujo escribió:
>
>
> A veces la soluciones sencillas son las que terminan siendo las más 
> eficientes. Crearos una cuenta de Gmail compartida para los 
> administradores que sois fijos y otra para los itinerantes, y vais 
> poniendo las claves a las que se deba tener acceso para cada uno de ellos.
>
> Saludos,
>
¿De verdad estarías contenta si las contraseñas de tus datos sanitarios
se guardaran en google?

Re: sistema de guardado de contraseñas

[Aradenatorix Veckhom Vacelaevus]

El 17 de agosto de 2015, 8:16 a. m., Camaleón escribió:
> El Mon, 17 Aug 2015 10:25:08 +0200, Trujo escribió:

> A veces la soluciones sencillas son las que terminan siendo las más
> eficientes. Crearos una cuenta de Gmail compartida para los
> administradores que sois fijos y otra para los itinerantes, y vais
> poniendo las claves a las que se deba tener acceso para cada uno de ellos.

¿y eso sería seguro?

Re: sistema de guardado de contraseñas

[Camaleón]

El Mon, 17 Aug 2015 10:25:08 +0200, Trujo escribió:

(yeeec)

> 
>   
> 
> body p { margin-bottom: 0cm; margin-top: 0pt;
> } 
>   
>bgcolor="#FF" text="#00">
> El 14/08/15 a las 08:59, Antonio
>   Trujillo Carmona escribió:
> 
>type="cite">
>   
>   body p { margin-bottom: 0cm; margin-top:
>   0pt; } 
>   ¿Alguien conoce algún programa de guardado de contraseñas con
>   interfaz web?
>   Se trata de guardar las contraseñas de todos los servidores para
>   que puedan ser consultadas por los técnicos.
> 
> Gracias a todos, probare webkeeppass y os
> comentare.
> No sirven ni webmin ni ssh pues se trata de guardar contraseñas
> de distintos servidores de todo tipo (HPUX, SOLARIS, WINDOWS,
> LINUX, servicios web online ...) se trata de guardar relasiones
> tipo:
> servidor -> servicio -> usuario -> clave
> comentarios.
> por supuesto cifrado por seguridad y con control de que usuario
> tiene acceso a que clave.
> El es hospital estamos una veintena de técnicos, solo 6 tenemos
> acceso a todo y tenemos que controlar/permitir que el resto
> pueda conocer las claves (de mas de 200 servidores con varios
> usuarios con varios permisos) de acceso a lo que necesiten de
> forma esporádica.
> Por ejemplo a un técnico le llega una tablet para resetearla y
> tiene que saber que usuario y clave tiene que configurarle en la
> cuenta del googleplay que se dió de altas para instalarle los
> programas que tiene instalados. o hay que acceder a un servidor
> apache para para reiniciar el servicio porque el técnico que
> normalmente lo controla y que accede por ssh con su usuario esta
> de vacaciones, o tras una caída "mala" un sistema no arranca y
> te pide la clave de root para hacer un "fsck".
> 
>   
>   
> 

A veces la soluciones sencillas son las que terminan siendo las más 
eficientes. Crearos una cuenta de Gmail compartida para los 
administradores que sois fijos y otra para los itinerantes, y vais 
poniendo las claves a las que se deba tener acceso para cada uno de ellos.

Saludos,

-- 
Camaleón

Re: sistema de guardado de contraseñas

[Trujo]

  
  
El 14/08/15 a las 08:59, Antonio
  Trujillo Carmona escribió:


  
  
  ¿Alguien conoce algún programa de guardado de contraseñas con
  interfaz web?
  Se trata de guardar las contraseñas de todos los servidores para
  que puedan ser consultadas por los técnicos.

Gracias a todos, probare webkeeppass y os
comentare.
No sirven ni webmin ni ssh pues se trata de guardar contraseñas
de distintos servidores de todo tipo (HPUX, SOLARIS, WINDOWS,
LINUX, servicios web online ...) se trata de guardar relasiones
tipo:
servidor -> servicio -> usuario -> clave comentarios.
por supuesto cifrado por seguridad y con control de que usuario
tiene acceso a que clave.
El es hospital estamos una veintena de técnicos, solo 6 tenemos
acceso a todo y tenemos que controlar/permitir que el resto
pueda conocer las claves (de mas de 200 servidores con varios
usuarios con varios permisos) de acceso a lo que necesiten de
forma esporádica.
Por ejemplo a un técnico le llega una tablet para resetearla y
tiene que saber que usuario y clave tiene que configurarle en la
cuenta del googleplay que se dió de altas para instalarle los
programas que tiene instalados. o hay que acceder a un servidor
apache para para reiniciar el servicio porque el técnico que
normalmente lo controla y que accede por ssh con su usuario esta
de vacaciones, o tras una caída "mala" un sistema no arranca y
te pide la clave de root para hacer un "fsck".

  
  

Re: sistema de guardado de contraseñas

[Walter Reverdito]

Yo utilizo desde hace años Password Max for Groups. "Comprado" obvio

El sáb., 15 de agosto de 2015 10:10, Camaleón  escribió:

> El Fri, 14 Aug 2015 08:59:27 +0200, Antonio Trujillo Carmona escribió:
>
> Gensanta...
>
> > 
> >   
> >
> > 
> > body p { margin-bottom: 0cm; margin-top: 0pt;
> > } 
> >   
> >> bgcolor="#FF" text="#00">
> > ¿Alguien conoce algún programa de guardado de contraseñas con
> > interfaz web?
> > Se trata de guardar las contraseñas de todos los servidores para que
> > puedan ser consultadas por los técnicos.
> >   
> > 
>
> Hombre, pues alguno hay:
>
> https://en.wikipedia.org/wiki/Comparison_of_password_managers
> https://en.wikipedia.org/wiki/List_of_password_managers
>
> Saludos,
>
> --
> Camaleón
>
>

Re: sistema de guardado de contraseñas

[Camaleón]

El Fri, 14 Aug 2015 08:59:27 +0200, Antonio Trujillo Carmona escribió:

Gensanta...

> 
>   
> 
> 
> body p { margin-bottom: 0cm; margin-top: 0pt;
> } 
>   
>bgcolor="#FF" text="#00">
> ¿Alguien conoce algún programa de guardado de contraseñas con
> interfaz web?
> Se trata de guardar las contraseñas de todos los servidores para que
> puedan ser consultadas por los técnicos.
>   
> 

Hombre, pues alguno hay:

https://en.wikipedia.org/wiki/Comparison_of_password_managers
https://en.wikipedia.org/wiki/List_of_password_managers

Saludos,

-- 
Camaleón

Re: sistema de guardado de contraseñas

[Aradenatorix Veckhom Vacelaevus]

Cerebropass funciona bien hasta que tienes que generar contraseñas
seguras para 60 usuarios y adminsitrar con contraseñas seguras otros 5
servidores.

Re: sistema de guardado de contraseñas

[OddieX]

La verdad? No me parece una buena idea guardar las contraseñas via web...
Yo eh usado keepass, pero ahora uso cerebro pass ¬¬


El 14 de agosto de 2015, 21:29, Fabián Bonetti 
escribió:

> On Fri, 14 Aug 2015 08:59:27 +0200
> Antonio Trujillo Carmona 
> wrote:
>
> > ¿Alguien conoce algún programa de guardado de contraseñas con interfaz
> web?
> > Se trata de guardar las contraseñas de todos los servidores para que
> puedan ser consultadas por los técnicos.
>
> Podes usar webmin.
>
>
> --
> Servicios:. http://mamalibre.com.ar/plus
> MamaLibre, Casa en Lincoln, Ituzaingo 1085 CP6070, Buenos Aires, Argentina
>

Re: sistema de guardado de contraseñas

[Fabián Bonetti]

On Fri, 14 Aug 2015 08:59:27 +0200
Antonio Trujillo Carmona  wrote:

> ¿Alguien conoce algún programa de guardado de contraseñas con interfaz web?
> Se trata de guardar las contraseñas de todos los servidores para que puedan 
> ser consultadas por los técnicos.

Podes usar webmin.


-- 
Servicios:. http://mamalibre.com.ar/plus
MamaLibre, Casa en Lincoln, Ituzaingo 1085 CP6070, Buenos Aires, Argentina


pgpFsdSm97QK9.pgp
Description: PGP signature

Re: sistema de guardado de contraseñas

[Pablo JIMÉNEZ]

On Fri, Aug 14, 2015 at 08:59:27AM +0200, Antonio Trujillo Carmona wrote:
> ¿Alguien conoce algún programa de guardado de contraseñas con interfaz web?
> Se trata de guardar las contraseñas de todos los servidores para que puedan 
> ser
> consultadas por los técnicos.

Si lo que pretendes es que los técnicos tengan acceso a las contraseñas 
de los servidores, quizás lo más adecuado no sea un sistema de 
almacenamiento de contraseñas, sino emplear el sistema de llaves 
públicas SSH para darles acceso a las máquinas.

Acá hay algunas recomendaciones del NIST al respecto:

http://csrc.nist.gov/publications/drafts/nistir-7966/nistir_7966_draft.pdf

Saludos.

-- 
Pablo Jiménez

Re: sistema de guardado de contraseñas

[Javier Barroso]

Hola,

El vie., 14 de agosto de 2015 21:52, Aradenatorix Veckhom Vacelaevus <
arad...@gmail.com> escribió:

Lo único que conozco para tales menesteres es KeepassX que carece de
interfaz web. Otra opción interesante es esta: https 
:// keyringer.pw/ 
pero ninguna tiene interfaz web.

Sí, hay un proyecto keepass con interfaz web, aunq algo estancado y no creo
q esté en el repositorio: http://sourceforge.net/projects/webkeepass/

Había alguno más x ahí ... Pero no tengo suficiente cobertura para buscarlo
en la web y no recuerdo el nombre

Saludos

Re: sistema de guardado de contraseñas

[Aradenatorix Veckhom Vacelaevus]

Lo único que conozco para tales menesteres es KeepassX que carece de
interfaz web. Otra opción interesante es esta: https://keyringer.pw/
pero ninguna tiene interfaz web.

Suerte