【編者按】作者jolestar，微信公號：午夜咖啡

創(chuàng)業(yè)團隊有許多公用服務(wù)需要內(nèi)部共享賬號密碼（比如公眾號，官微賬號，企業(yè)應(yīng)用市場賬號)，賬號密碼應(yīng)該如何管理？還有各種內(nèi)部工具，SaaS服務(wù)的賬號該如何管理？本文推薦幾個團隊賬號密碼管理工具。

（截圖來自keeper網(wǎng)站）

很多人用云筆記或者云盤等工具共享賬號密碼，不過這是非常不安全的，因為你沒辦法控制團隊里每個人的個人賬號的安全級別，一旦個人的賬號由于弱密碼或者被撞庫泄露，那所有的安全都等同虛設(shè)。前一段時間一某廠員工的筆記被撞庫，黑客用該員工賬號在內(nèi)網(wǎng)游歷一圈就是例子。

有一次，我去幫一創(chuàng)業(yè)的朋友解決技術(shù)問題。需要看下他們的dns，結(jié)果他不知道管理賬號密碼，于是打電話問技術(shù)同學。后來又要看云服務(wù)的管理后臺，結(jié)果也不知道，又打電話問技術(shù)同學。看了一圈，電話打了幾個，密碼電話里還說不太清楚，一番折騰。前兩天一創(chuàng)業(yè)群里又有同學問起這個問題，所以就分享幾個團隊賬號密碼管理的工具。

1Password for team

1Password是agilebits出的一款密碼管理工具，最近推出了team版本。

1Password是個純客戶端應(yīng)用，加密方式是公開的，密碼數(shù)據(jù)庫在用戶的Dropbox或者iCloud上，服務(wù)器也不保存用戶的主密碼，這樣避免了1Password自己的服務(wù)被黑導致的數(shù)據(jù)泄露問題。用戶如果忘記自己的主密碼是無法恢復數(shù)據(jù)的。如果要盜取用戶的密碼數(shù)據(jù)，需要先盜取到用戶的iCloud/Dropbox上的密碼數(shù)據(jù)庫，再盜取到用戶的主密碼。所以安全掌握在用戶自己手里。

1Password for team 由于要在多個用戶之間共享數(shù)據(jù)，密碼數(shù)據(jù)庫要保存到云端。不過1Password依然承諾不保存用戶的主密碼，云端的數(shù)據(jù)庫是加密過的，每次訪問的時候解密。具體的技術(shù)說明參看Introducing 1Password for Teams 。

1Password的同步功能是通過桌面客戶端實現(xiàn)的，安裝瀏覽器擴展是方便輸入賬號密碼，瀏覽器擴展里并不會要求用戶登陸或者輸入主密碼，所以避免了網(wǎng)站偽造主密碼登陸界面釣魚的風險。比如，同樣的密碼管理工具 LastPass這兩天就遭遇了網(wǎng)頁釣魚攻擊。

使用1Password for team比較簡單，創(chuàng)建一個team，通過郵箱邀請成員，成員在自己的客戶端上綁定團隊賬號，即可同步團隊密碼數(shù)據(jù)到用戶本地。管理員可以創(chuàng)建不同的保險庫(vault)，來控制權(quán)限問題。適合規(guī)模比較小，成員之間比較信任的團隊。

付費機制：1Password對國內(nèi)用戶來說還是比較貴，Mac版本￥163，iOS版本￥68，不過基礎(chǔ)功能免費版可用。

Onelogin

如果團隊成員流動比較大，頻繁改密碼又比較麻煩，如何處理？這里推薦下Onelogin。

Onelogin支持管理員在后臺設(shè)置賬號密碼，然后給團隊生成一個應(yīng)用面板，成員點擊應(yīng)用圖標，打開連接，Onelogin的瀏覽器插件會自動填充用戶名密碼然后提交，成員看不到用戶密碼，也無需知道用戶密碼。當然，這個機制也是防君子不防小人，如果成員自己用抓包工具，還是可以獲取到密碼的，但至少不需要把密碼傳來傳去。

另外Onelogin支持同步LDAP，Active Directory，Google APPS SSO等賬號中心（高級版），也支持SAML，方便其他應(yīng)用集成，它的目標是企業(yè)應(yīng)用的認證中心。

付費機制：初級版每人每月2$，高級版每個月每人4$

最大缺點是它是國外服務(wù)，國內(nèi)訪問非常慢。

開源的LDAP服務(wù)

如果團隊內(nèi)部的應(yīng)用多，建議搭建LDAP服務(wù)做統(tǒng)一賬號密碼管理。推薦以下LDAP服務(wù)：

Apache Directory Apache下的java的開源LDAP服務(wù)

Open LDAP 開源LDAP服務(wù)

ltb-project 一組php的LDAP工具，包含一個LDAP自服務(wù)web項目，允許用戶自己修改自己的賬號密碼。LDAP服務(wù)本身不包含自服務(wù)工具的。

國內(nèi)企業(yè)應(yīng)用賬號管理之痛

原來的企業(yè)應(yīng)用都是私有部署模式，部署在內(nèi)網(wǎng)，統(tǒng)一使用LDAP就可以搞定賬號認證的問題，但移動互聯(lián)網(wǎng)時代，為了便利，許多內(nèi)部應(yīng)用要在公網(wǎng)上訪問，同時各種SaaS服務(wù)涌現(xiàn)出來，每個都有一套賬號系統(tǒng)，每個成員加入或者離職，都需要管理許多服務(wù)的賬號。于是出現(xiàn)了Google APPS，Onelogin等SaaS賬號中心服務(wù)。然而這兩個服務(wù)，一個被墻，一個很慢，在國內(nèi)都不太具有可用性。

而國內(nèi)的郵箱服務(wù)廠商，也沒有提供類似服務(wù)，對國內(nèi)企業(yè)應(yīng)用開發(fā)者和用戶來說都是一種痛苦。

其他同類服務(wù)

其他類似服務(wù)，但筆者未做分析比較，感興趣的可以看看

LastPass 、Keeper 這個中文服務(wù)支持的比較好 、Okta 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。