PasswordState ( https://www.clickstudios.com.au/ ) is wel een aardige, en is nog on-premise ook. Zoals ik het interpreteer wil je 'm zakelijk (=teams) gebruiken. In zo'n geval zou ik de wachtwoorden altijd on-premise willen houden.

Misschien eerst eens je functionele requirements neer zetten?

Maak voor de zekerheid van "in bijvoorbeeld de USA" maar "bij bijvoorbeeld amerikaanse bedrijven."

Onlangs ving Google bot toen ze dachten dat hun opslagruimte in het buitenland buiten de amerikaanse wet zou vallen.
Het heikele punt was: Google had niet exliciet aangegeven dat hun bedoeling met die opslagservers in het buitenland was
om niet onder de amerikaanse wet te vallen. Daarom viel het toch onder de amerikaanse wet...

Ik weet niet wat je budget is, maar kijk eens naar CyberArk: een systeem met allerlei logging, multiple login methoden, eventueel two-factor, of tijd-gelimiteerd.

Wel even het hele verhaal vertellen..... Het ging juist ook om een Amerikaans. Dat was een belangrijke punt uit het vonnis.

Als bij internetgebaseerd wachtwoordbeheer gegarandeerd is dat de wachtwoorden op de machine van de gebruiker worden versleuteld en ontsleuteld en als de versleuteling deugt dan zou het niet uit moeten maken waar de versleutelde data wordt opgeslagen. Ik geef er desondanks zelf de voorkeur aan om de data lokaal op te slaan en om een wachtwoordbeheerprogramma te gebruiken dat als proces naast de browser, en niet in het browserproces, draait.

Als wachtwoorden persoonlijk zijn, en de persoon zijn eigen wachtwoorden beheert, dan zie ik niet in wat het managen van teams inhoudt. Bedoel je daarmee dat er wachtwoorden zijn die door meerdere mensen worden gebruikt? En zo ja, moet je dat wel willen?

Als het alleen om het maken van backups gaat: Keepass zet de wachtwoorddatabase in een bestandje in de home-directory van de user en dat kan net zo makkelijk in backups worden meegenomen als elk ander bestand.

"Hitachi ID Password Manager" & "CyberArk Enterprise Password Vault" zijn voorbeelden van oplossingen hiervoor die je in een bedrijfscontext al eens kan tegenkomen (al zijn er ongetwijfeld nog).

Beiden laten een volledige on-prem setup toe indien bezorgdheden rond cloud en opslaglocatie een rol spelen.

Volgens mij maakt dat dan juist niét meer uit. De moraal van het verhaal: Data in het buitenland kan altijd onder de jurisdictie van het land van het bedrijf vallen. Als je pech hebt.

Tegenwoordig is pen en papier weer het veiligste, howel, morse kennen ook niet veel mensen meer dus maak een .ogg bestandje met daarop morsecodes en zet dat op je telefoon. Oordopjes in en niemand die iets in de gaten heeft. ;)

Er zijn altijd wat last-resort passwords die lokaal op een systeem staan en gedeeld beschikbaar moeten zijn.

Out-Of-Band management kaarten (ipmi/ilo e.a.) kunnen dat hebben. Sommige appliances kunnen niet gekoppeld worden aan een centraal authenticatie systeem.
In een behoorlijk opgezette Unix omgeving wordt een centraal authenticatie systeem gebruikt , en loggen beheerders individueel in , en gebruiken sudo om waar nodig extra privileges te krijgen ) . Alleen als het centrale authenticatie systeem onbereikbaar is, of de betreffende server stevig in de problemen zit (single user mode , pam ldap module werkt niet) is de enige authenticatie de lokale password+shadow file .
Dat zijn voorbeelden van passwords die in zo'n password manager met team functionaliteit zitten, en beschikbaar moeten zijn voor de mensen in het beheerteam - degene die dienst heeft en aan het werk moet op de gecrashte server.

Dank voor de uitleg en voorbeelden. Maar levert dat werkelijk zo'n groot beheerprobleem op dat dat in je wachtwoordmanager geïntegreerd moet zijn? Je kan voor die wachtwoorden bijvoorbeeld een tekstbestandje maken dat je met alle systeembeheerders als recepient GPG-versleutelt zodat ze het allemaal kunnen ontsleutelen met hun eigen sleutel. Niet zo luxe als een wachtwoordmanager, maar systeembeheerders moeten dat moeiteloos aankunnen, lijkt me.

Hide in plain sight.
Zoals op de albumhoezen van Iron Maiden de songtitels terug komen: een mapje met foto's op je mobiel

Dat hangt van je omgeving en pool van beheerders af, hoeveel "gedoe" je wilt of aankunt om zelf iets in elkaar te klooien.
Als je een tijdje in de IT werkt leer je ook je beeld van wat je "mag verwachten van systeembeheerders" bij te stellen.

Hoe dan ook ontdek je al heel snel dat je iets centraals wilt dat leidend is , en dat mensen die zelf dingen "in sync" moeten houden met 'de laatste versie' van centraal al heel snel uit de pas gaat lopen.

Als je een set beheerders hebt die bv eens in de paar weken on call lopen, en dan ook niet zo heel vaak de last-resort opties nodig hebben, kun je er donder op zeggen dat ze als het nodig is het magische bestandje niet hebben, gpg niet blijken te kennen (of het voor het gemak maar telkens lokaal ongecrypt saven)

In zijn algemeenheid blijkt dat je er qua security heel goed aan doet om te zorgen dat de "makkelijkste en meest gebruikte manier" ook vanzelf de veilige is - zoals het aanbieden van centrale password managers .
Als je dat niet doet is het risico dat het 'alternatief' van excelletjes op drive shares de praktijk wordt.

Kortom - het hangt ervan af, maar ik kan me heel goed voorstellen dat zo'n team optie erg handig kan zijn.