Добрый день.
У пользователей некой базы есть потребность сохранять и потом пользоваться логинами/паролями от разных корпоративных ресурсов (b2b поставщиков). Как можно безопасно их хранить и предоставлять только нужным пользователям?
Из описания - пользователи хотят сохранить пароль, а потом его вспомнить, а-ля браузер?
Для этих целей существуют коммерческие прлграммы, например Citrix Password Manager. Если вы хотите делать свой, и защищать его хорошо, вам предстоит стать экспертом в области компьютерной безопасности, чтобы хотя бы сформулировать проблемы, которые вам предстоит решить.
Ну например, только на клиенте:
- как обезопаситься от ненамеренно попадания пароля в dump, когда ПК попадает на блюскрин
- как не допустить попадания пароля в pagefile, даже временно
- как прятать пароль в памяти от хакера в условиях виртуализации
- как не отдать пароль вирусу который внёс себя в адресное пространство клиента.
Это даже не затрагивает передачу и хранение данных на сервере (что во многих смыслах легче, т.к. контроль конфигурации и физического доступа крепче).
Но и там:
- как не допустить утечку всей базы паролей одним недовольным сисадмином
- как исполнить требование суда о передаче паролей пользователя
- при этом не раскрывая пароли других
После этого система хранения такой ценной информации потребует проверок и продолжающегося надзора. Возможно, сертификаций для допуска к определенным контакторам, и/или для снижения юридической нагрузки. Несомненно - учебных материалов для образования пользователей.
Проработав в этой сфере много лет, я отношусь к таким данным как к обогащенному плутонию - если это не является моей основной задачей - спихнуть на готовое сертифицированное (EAL-х?) решение. Если является - то соразмерный бюджет и команда.
Кто будет/сможет решать проблему когда пароли сотен людей всплыли на DMs, а ты только выбрался на Ямайку и наслаждаешься погодой?
