<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Tue, Jun 30, 2015 at 6:06 AM CircleCode <<a href="mailto:codronm%2Bcirclecode@gmail.com">codronm+circlecode@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>what would be the better way to share a common password store, say for example for an association?<br></div></div></div></div></div></blockquote><div><br></div><div>I recommend avoiding shared secrets at an organizational level. It's much safer to use public key infrastructure (PKI) single sign-on (SSO) methods like SAML or OAuth. If you deploy a web application yourself, you can proxy through something like Apache with mod_mellon to perform authentication and authorization using SAML. Many other hosted applications also offer integration with SAML or OAuth.<br><br></div><div>Sharing a password in a group means that (1) the password must be rotated whenever someone leaves the groups, (2) there's no accountability for which individual accessed an application or did what, and (3) users are more vulnerable to phishing attacks because there's less consistency for where they expect to supply credentials.<br><br></div><div>That said, if you've got to share passwords, other advice on this thread is good.<br></div></div></div>