Краща практика та рішення для спільного використання паролів [закрито]


62

У нас є різні паролі, які потрібно знати більш ніж одній особі в нашій компанії. Наприклад, пароль адміністратора до наших інтернет-маршрутизаторів, пароль для нашого веб-хоста, а також кілька паролів "не ІТ", як безпечні коди.

В даний час ми використовуємо спеціальну систему "стандартних паролів" для систем малої вартості та словесного обміну паролями для більш важливих / потенційно згубних систем. Я думаю, що більшість людей погодиться, що це не є хорошою системою.

Ми хотіли б - це програмне рішення для зберігання "загальнодоступних" паролів, доступ до яких обмежується лише людьми, які насправді потребують цього. В ідеалі, це вимагатиме періодичних змін паролів або їх застосування. Він також повинен мати можливість вказати, хто має доступ до певного пароля ( наприклад , хто знає кореневий пароль для сервера XYZ?)

Чи можете ви запропонувати будь-які програмні рішення для зберігання та обміну паролями? Чи є щось особливе, що варто насторожитися?

Яка загальна практика для малих та середніх компаній для цього?


Ознайомтеся з деякими відповідями з мого схожого, хоч і недостатньо сформульованого, питання: serverfault.com/questions/3696/…
boflynn

"Чи можете ви запропонувати будь-які програмні рішення для зберігання та обміну паролями?" належить до програмного забезпечення Exchange Exchange Stack .
Крістіан Цюпіту

Відповіді:


26

Я стикаюся з цією проблемою кожен раз, коли переходжу до нового стартапу. Перше, що я роблю, це зробити пару "сейфів для паролів" з такою програмою (або однією з її похідних):

http://passwordsafe.sourceforge.net/

Встановіть сильні комбінації та підключіть їх до мережі. Сегмент за зоною відповідальності ... центральна інфраструктура, сервери виробництва, dev / QA тощо.

Коли достатньо імпульсу, і якщо припустити, що я маю належні залежності від середовища Windows, я люблю переходити до цього:

http://www.clickstudios.com.au/passwordstate.html

Він має функції як для спільних, так і для особистих даних.


Чи існує програма linux чи mac, яка може читати файли, захищені паролем? Було б непогано вирішити ситуацію, в якій люди використовують різні операційні системи. Найкраще, що я знайшов, це текстові файли, зашифровані gpg.
Марк


Я перевірив Passwordstate, але він виглядає досить обмеженим порівняно з іншими платними рішеннями. Для одного, пошук паролів не підлягає аудиту. Однак це має бути доступне в наступному випуску.
Сергій

Схоже, що Passwordstate тепер має розумні функції аудиту. clickstudios.com.au/about/compliance-reporting.html
Nic

13

Не забувати - це необхідність мати можливість відкликати паролі, якщо працівник виїжджає / звільняється з посади. У популярних засобах масової інформації було зафіксовано декілька випадків, коли працівників звільняють та «повертаються» до їхньої компанії, використовуючи паролі, які були активними після їх виходу.

Зазвичай це 2 частини:

  1. Знаючи всі паролі, які потрібно змінити (інакше ти за замовчуванням для всіх, що нудно)
  2. Вручну змінювати їх або автоматизувати процес за допомогою інструменту чи сценарію.

Ще одним важливим фактором є забезпечення дотримання політики щодо паролів під час внесення змін - наприклад, як ви знаєте, що один і той же пароль не використовувався в кількох облікових записах або слабкий пароль не використовувався?


14
Як зауваження, я б схвалив це як коментар, але не як відповідь, оскільки це не стосується питання. Все-таки хороший момент.
Кара Марфія

11

Я працюю в невеликому ІТ-магазині, і ми використовували Secret Server останній рік для управління нашими паролями для наших мережевих пристроїв та потреб клієнтів.

Вони пропонують "встановити видання" або онлайн / розміщене видання. Ми використовуємо розміщене видання менш ніж за 100 доларів США / рік (5 користувачів) і можемо безпечно отримувати доступ до цієї інформації про пароль через веб-браузер де завгодно. Якщо ви дійсно переживаєте за безпеку, встановіть її на власному сервері та отримайте доступ до неї лише через локальну мережу або VPN.

Крім того, мій улюблений "особистий" веб-менеджер паролів тепер пропонує "ділову редакцію" - PassPack .

Я не впевнений, як це працює в цьому сценарії проти Secret Server, але будь-яке рішення повинно бути набагато більш універсальним та безпечним, ніж клаптики паперу, настільні додатки або ( задихаючись ) запам'ятовування речей у вашій голові. Що стосується "єдиної точки відмови", будь-який із цих продуктів дозволяє легко експортувати до CSV.




Secret Server виглядає акуратно, але це не дешево!
Тото

4

Я вже деякий час використовую LastPass і люблю це. У минулому році я витратив трохи часу на дослідження цього питання, і мені сподобалося, як це зробив LastPass.

  • Вся інформація зберігається на їхньому веб-сайті (та локальній копії) у зашифрованому пакеті, у якого тільки ви маєте пароль для розшифрування
  • Усі паролі доступні для обміну та відкликання, навіть можна поділитися ними, не надаючи доступу до самого пароля (для веб-реєстрацій)
  • Плагіни для основних браузерів
  • Багато інших функцій

3

Я друге рекомендація Адама щодо PasswordSafe з даними в мережевій папці. Я маю два міркування в цій галузі. Один має єдину версію, так що всі, кому потрібні дані, отримують поточні дані.

1- PasswordSafe використовує стандартизований формат для файлу, тому є інші рішення, які можуть його читати, включаючи KeePass.

2- Помістіть файл пароля на захищену загальну версію та майте щонічний сценарій, який копіює його на пару місць у мережі. Можливо, скопіюйте його на загальний доступ до іншого сервера (якщо це можливо за межами сайту) та на USB-накопичувач, залишений на сервері. Ви хочете, щоб файл принаймні одне місце, де він не захищений паролем, який він зберігає!

3- Зберігайте інсталятор (або виконувану версію програми) в тих самих місцях, що і ключовий файл, щоб ви могли швидко отримати доступ до нього.

4- Запропонуйте людям відкрити файл «ЧИТАЙТЕ», якщо тільки їм не доведеться вносити зміни.

5- Якщо потрібно, ви можете створити кілька файлів паролів, один для облікових даних, які потрібні всім в команді, і один для облікових даних для дійсно чутливих речей.

Я б не рекомендував переходити до веб-рішення. Внутрішньо розміщене рішення могло б бути нормальним, але це здається великою проблемою. Я також стурбований тим, що це єдиний пункт провалу.


2

Я відповідаю за досить багато систем з працівниками одного з моїх клієнтів. Ми погодилися використовувати схему паролів для найбільш часто використовуваних облікових записів. Інші паролі зберігаються у паперовому списку пар (кількість, пароль), що підтримується Клієнтом, начальником інформаційних технологій. Імена користувачів та хости зберігаються у легкодоступній базі даних. Паролі роздаються на основі необхідних знань.


2

Загальна практика в малих та середніх компаніях:

Три місця, в яких я працював, використовували окремі документи для деталізації паролів для різних систем. Один документ для маршрутизаторів і брандмауерів, інший для доступу до серверів і один для розробників (наприклад, дані про вхід для підключення до бази даних). Доступ до програм, як правило, не задокументований (я припускаю, що для більшості ви входите як власні права адміністратора).

Адміністратор мережі бачить лише документ пароля маршрутизатора, а особи, які мають доступ до цього документа, перелічені в цьому файлі. У їхніх умовах роботи зазначено, що логіни та паролі, до яких вони мають доступ, є приватними та не можуть їх ділитися з іншими. Аналогічно для системного адміністратора та розробників.

Реальність іноді пароль ділиться загальним, але ви можете визначити, хто повинен знати (і чому), і змінити те, що потрібно змінити. Він добре працював у (програмній) компанії з 50 працівників.


2

Для рідко використовуваних паролів, таких як локальні облікові записи адміністраторів на серверах, паролі маршрутизатора та брандмауера тощо, на моїй останній роботі, магазин приблизно 50 або більше, тільки sysadmin фактично знав паролі. Вони були записані на аркуші паперу в конверті. Я вважаю, три конверти, які були запечатані та підписані начальником, SysAdmin та головним програмістом. Кожна особа мала копію документів. У випадку використання паролів ми змінили їх та зробили нові конверти.

У моїй теперішній роботі в набагато більшій організації у нас є лише 15 системних адміністраторів, і на пару тисяч користувачів у нас є метод обчислення паролів на основі імені серверів. Сюди входить відомий префікс і хеш-метод, який досить простий для виконання на папері. Коли паролі потрібно змінювати, тому що хтось залишає або що ні, ми змінюємо префікс, хеш або те і інше. Таким чином, поки я не знаю пароль для кожної машини чи пристрою навколо себе, я міг його обчислити, якщо мені знадобиться з якихось причин.


акуратна ідея, чи можете ви надати приклад такого простого хеш-методу, який можна обчислити?
Олександр Іванисевич

Ви можете використовувати шифр ROT aka cesar, але використовуючи випадково вибране число від 1 до 26 для зміщення. Наприклад, якщо ваш сервер був названий fileserver2, а префікс - Le84D, а зсув - 18, паролем буде Le84Dxadwkwjnwj20
Laura Thomas


1

У мене були ті ж проблеми і раніше. Я закінчив будувати систему для вирішення цього питання. Він зберігав ім'я користувача та пароль у сильно зашифрованій формі в базі даних з веб-інтерфейсом, який дозволив би ввести інформацію про обліковий запис, і встановити захист на ньому, щоб тільки потрібні люди або групи могли отримати доступ до даних.

Це не підказувало, коли настав час змінити паролі, оскільки служби на десятках серверів використовували той самий логін, і зміни паролів повинні були бути налаштовані заздалегідь.

Я створив його з повною функцією аудиту, щоб кожен раз, коли працівник дивився на вхід, він реєструвався, щоб ми могли скинути журнал аудиту в Excel для аудиторів SOX.


1

Використовуйте GPG з опцією Symmetric, щоб зашифрувати текстовий файл із усіма паролями в ньому. Тоді все, що вам потрібно зробити, - це надати одну фразу для інших адміністраторів. Коли адміністратор покидає компанію, тоді просто заново зашифруйте текстовий файл новою фразовою фразою.


... і змінити всі паролі, що містяться в ній, правда?
Ingmar Hupp


1

Вау, хороша нитка! Ніхто не згадував мого кращого рішення (за винятком випадкових випадків), тому я дам крик KeePass. Чудово розширюється, з аутентифікацією на основі пароля, ключа або AD. Робота добре для нас.


1
KeePassX для крос-платформної версії ( holdassx.org )
Ingmar Hupp

1

Для доступу до серверів:

Забезпечте доступ до одного сервера та використовуйте його як стрибок і керуйте обліковими записами у вікні стрибка. Будь-який, який вважається довіреним до стрибка, довіряється віддаленому ресурсу. Таким чином, кожен має свій власний пароль, а пароль на сервері для конкретного облікового запису можна зберігати в секреті.

Для доступу до інших ресурсів:

Обмежте доступ лише до необхідного персоналу. Обов’язково керуйте списком надійних користувачів. Змінюйте пароль кожні 90 днів та оновлюйте список надійних користувачів. Повідомте людей про очікувані зміни 15, 7 та 1 день заздалегідь. Поширюйте пароль лише менеджерам і дозволяйте їм визначати, кому потрібен доступ. Використовуйте утиліти для реєстрації доступу та регулярно повідомляйте користувачів, що вони ретельно контролюються системами. Будь-яка кумедна справа на серверах повинна бути відомим терміновим правопорушенням.


0

Я знаю, що це не точно відповідь, яку ви хочете, але на моєму місці роботи вона точно така ж, довіреним співробітникам надаються відповідні паролі, паролі не поділяються між пристроями, і вони не записуються. Система, як правило, працює досить добре, а адміністрування пристроїв зазвичай є відповідальністю лише пари співробітників. У нас також дуже хороший персонал, тому довіру можна нарощувати протягом тривалого періоду.


0

Можливо, ви хочете використовувати якесь програмне забезпечення для зберігання паролів - таким чином ви можете надати авторизованим користувачам власний доступ до нього та переконатися, що інформація не просочується людьми, залишаючи нотатки навколо. Хороший, мабуть, навіть не відображає пароль, просто опускає його в буфер обміну для вирізання пасти.


0

У нас є така система, як Президент і Бомба - по двоє людей знають половину пароля. Таким чином, ви ніколи не отримаєте ситуацію, коли один адміністратор шахрая відходить і самостійно вносить несанкціоновані зміни.


Цікаво ... але не дуже практично для PIN-коду для кредитної картки компанії ;-)
Стюарт

Це досить цікаво. Є багато випадків, коли мій колега (з другою половиною pw) і я не разом ..., але мені подобається ця ідея.
cop1152

1
Тепер ви перетворили одну точку відмови в подвійну точку відмови. Це подвоює шанси на те, що пароль буде втрачено. Плюс це абсолютно непрактично - я ніколи не зможу нічого зробити, якби знала лише половину кожного пароля адміністратора.
Аарон Браун

Я сподіваюся, ви не маєте на увазі, що ви використовуєте загальні облікові записи адміністратора ... жодного аудиторського сліду.
Максим Мінімус

0

Я працюю в ІТ-компанії, у нас багато клієнтів, зазвичай ми віддалено вирішуємо проблему. Ми використовуємо ssh для входу для усунення несправностей. Ми додали одну машину ssh-ключ до всіх машин наших клієнтів, так що вона буде корисною для інших для входу та усунення неполадок, якщо я не там. Але машина, яку ми використовуємо для входу до клієнтів, робить її високою забезпечений. Якщо ви хочете мати хороші паролі, краще скористайтеся номерами та додатковими символами.

Щоб додати ssh-клавіші, виконайте такі дії:

1.ssh-keygen -t dsa (Щоб отримати ключі ssh на .ssh / id_dsa.pub

  1. scp .ssh / id_dsa.pub root @ remote: ~ / tmp

  2. На віддаленій машині

кіт >> /tmp/id_dsa.pub .ssh / санкціонований_кейс2

Спробуйте увійти, щоб видалити macine, з іншої консолі ... :) happy sshhhhhh


-1

Відмовтеся від використання систем, для яких потрібен пароль. Будь-який сервер повинен підтвердити автентифікацію ключами SSH, будь-який веб-сайт із OpenID. Запустіть постачальника OpenID всередині брандмауера.

Очевидно, що цей сценарій передбачає, що всі ваші системи доступні через SSH або HTTP, але він працює для нас.


Я не бачу, як це працює для маршрутизаторів, безпечних кодів, PIN-кодів кредитної картки тощо
Стюарт

«Відмова від використання систем , які вимагають пароля» - є такі речі , як PTB так «відмовити» не завжди працюють ...
Сергій
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.