Каковы лучшие практики для обмена сотнями паролей среди нескольких человек? Эти пароли защищают критически важные данные и никогда не могут быть видны за пределами небольшой команды.
password-management
Крис Генри
источник
источник
Ответы:
Вероятно, я бы написал собственное веб-решение, размещенное в корпоративной интрасети. (посмотрите на http://lastpass.com для вдохновения или используйте его. Совместное использование паролей является одной из его функций, хотя оно может не работать для вашего тома.)
РЕДАКТИРОВАТЬ : Конечно, лучшее решение, не разделяйте их. Хранение паролей в виде открытого текста на любом носителе опасно, особенно когда целью их хранения является их совместное использование. Существует почти бесконечное количество решений, каждое из которых сопряжено с опасностью. Почему бы не поместить их в зашифрованный образ диска, записать этот образ на один компакт-диск, положить компакт-диск в сейф, который может открыть только один вооруженный охранник, и разрешить людям предъявлять удостоверение личности с фотографией, чтобы разблокировать его?
Дело в том, что мы не знаем ваш сценарий. Почему вы делитесь сотнями критически важных паролей? Они для вашей внутренней сети, VPN или для клиентов, которые по какой-то причине вы храните в открытом виде? Все ли люди, с которыми вам нужно поделиться им, в одной и той же установке? Будет ли работать физический перенос, такой как зашифрованный компакт-диск или печатная таблица, хранящаяся в сейфе? Или ваши системные администраторы распространены по всему миру, делая электронные средства обмена ими единственным решением?
источник
Лучшая практика не делиться паролями. Используйте такие инструменты, как sudo, чтобы пользователи могли получать доступ к своим аккаунтам. Если у вас есть несколько пользователей, каждый из них должен иметь свои собственные учетные записи, где это необходимо. LDAP (Unix / Linux) и Active Directory являются хорошим решением для предоставления доступа к нескольким серверам из общей базы данных.
Когда необходимо получить письменную копию пароля, запечатайте его в конверт с подписью и датой на печати. Измените пароль, когда он используется. Когда пароль будет изменен, запечатайте его в новый конверт.
Для паролей, которые действительно должны быть разделены, используйте один из инструментов паролей, таких как Keepass, который может иметь свою базу данных в сети. Инструменты с клиентами для нескольких платформ лучше. Подумайте, нужно ли вам более одной базы данных. Помните, что вам нужно действительно доверять всем, кто имеет доступ к этим данным.
источник
Мы пошли с KeePass именно для этой цели. Это отличная маленькая программа, которая хранит все ваши пароли в зашифрованном файле базы данных. Существуют дополнительные функции безопасности, такие как наличие файла ключа вместе с основным паролем для доступа к паролям. Это обеспечивает несколько уровней безопасности (отдельный файл ключа и базу данных), сохраняя при этом удобным для всех работу со всеми различными паролями. Например, вы можете запустить приложение и файл ключа с USB-накопителя, но где-то хранить базу данных в своей сети. Для этого потребуются учетные данные для общего сетевого ресурса, основного пароля и физического USB-накопителя с файлом ключа.
источник
Это просто в двух вариантах:
Вы не просто и просто. Если вы решите сделать это, вы откладываете аутентификацию по паролю на внешний доверенный орган и управляете аутентификацией оттуда.
Вы делаете, но при этом у вас есть внешние элементы управления доступом, которые имеют пароли или токены безопасности, которые не записаны в используемой вами системе (т.е. запись паролей защищена другим паролем, доступ к которому ограничен). Есть множество проблем с этим.
Вы должны серьезно рассмотреть вопрос о безопасной службе аутентификации, которая интегрируется со службой каталогов для решения этой проблемы. Комбинация DS / AS создает доверенный «орган», который может выступать в качестве арбитра для всех ваших пользователей и устройств. Доступ к учетным записям пользователей может быть абстрагирован от фактического пароля, используемого при аутентификации, что позволяет легко «отключать» пароли от политики доступа. Контроль паролей осуществляется путем деактивации учетной записи пользователя; поэтому, если администратор уходит, вы просто отключаете его учетную запись, и его доступ исчезает (потому что пароль этого человека предоставляет доступ только на основании действительности DS / AS, подтверждающей действительную учетную запись).
Это будет работать только в том случае, если вы находитесь в среде, которая позволяет вашим устройствам / программам перенаправлять свои запросы на аутентификацию внешним источникам, поэтому это может не быть решением для вас . Если у вас есть значительный процент устройств / программ, которые могут поддерживать внешнюю аутентификацию, я бы пошел дальше и сделал бы это, если бы просто консолидировал несколько сотен паролей до управляемого списка, скажем, дюжины. Если вы решите пойти по этому пути, есть несколько готовых, хорошо известных и проверенных решений для этого.
Существует также вопрос о том, сколько безопасности вам нужно. Вы не указали, что под «критически важным для миссии» вы подразумеваете, что ядерные боеголовки могут падать на города, или же «критическое значение для миссии» означает, что последняя партия «Мрачных» не попадет в город. Было бы действительно полезно, если бы было что-то, что описывает оценку риска / угрозы.
источник
Несколько вещей:
Вы также должны выйти за рамки механических мер безопасности, помещая бумажные пароли в сейф или шифруя пароли. Узнайте больше о том, как организации со зрелыми моделями безопасности защищают ключи и безопасные комбинации. Я не рекомендую делать то, что вы хотите сделать, но если вы делаете:
Подобные процедуры - это боль в шее, но они послужат стимулом для людей, которые примут более разумные методы. Если вы не сделаете что-то похожее на то, что я описал, не пытайтесь выполнить блокировку паролей, потому что вы все равно когда-нибудь будете взломаны.
источник
Я знаю, что это старый вопрос, но я недавно наткнулся на веб-решение с открытым исходным кодом, которое называется Corporate Vault, которое может быть интересным для некоторых. У меня еще не было возможности попробовать это.
источник
мы используем программу под названием Password Safe . Это красиво и очень безопасно, вы можете установить базу данных на сетевой диск и предоставить каждому, кому он нужен, доступ и пароль к самому сейфу, который затем надежно хранит все имена пользователей и пароли в зашифрованном виде.
источник
https://pypi.python.org/pypi/django-pstore/ использует GPG-шифрование для каждого пользователя для общих паролей (и любых других данных, которыми вы хотели бы поделиться). Сервер никогда не знает ни о каких паролях, он только хранит зашифрованные данные. Каждый использует свой личный ключ для расшифровки общих секретов.
Система включает управление правами: не каждый получает полный доступ.
источник
Мы используем https://passwork.me в качестве самостоятельного решения. Но вы также можете хранить пароли в их облаке.
источник
SPB Wallet - это хороший инструмент, который мы использовали, чтобы использовать PW safe by ghost, но SPB Wallet позволяет синхронизировать с сетевым ресурсом, а также синхронизировать с вашим iphone, если вы получаете приложение. Он также имеет встроенный генератор паролей, и вы можете генерировать их от простых паролей до чрезвычайно сложных паролей. Вы также можете скопировать пароль, пока он все еще отмечен звездочкой, поэтому, если кто-то ищет, вы можете скопировать и вставить его, чтобы никто не увидел пароль. Приложение для ПК автоматически блокируется при отсутствии активности в течение определенного периода времени.
источник
Другой вариант - хранилище ключей Azure, которое надежно хранит ваши секреты и позволяет вам программно разрешать доступ к ним, легко поворачивать ваши пароли и т. Д. Никакого приятного пользовательского интерфейса для этого нет, но если вы хорошо работаете с доступом из командной строки, это хорошо.
источник
Наша лучшая практика - делиться как можно меньшим количеством паролей.
Поэтому мы, например: - используем my.cnf в корневом домашнем каталоге для паролей к базе данных - используем ssh-ключи для входа на серверы и имеем один корневой пароль, который разрешен только через консоль (поэтому вы должны иметь физический / BMC-доступ к серверу ) - используйте ldap везде, где это возможно (ssh, bmc, переключатели, redmine, ....)
Однако есть несколько ситуаций, когда мы не можем использовать этот подход (например, пароль root). Затем мы используем keepass в нашем общем хранилище, но храним там всего 10 паролей.
источник
Очень хороший вопрос Я был бы заинтересован в других ответах.
Вот что я делаю, но сначала я рекомендую использовать предварительные общие ключи, где это возможно. Я не знаю, возможно ли это с системами Windows, хотя.
Поскольку количество паролей должно быть небольшим (вы, по возможности, используете ключи), я использую простой текстовый файл, зашифрованный с помощью gpg, в системе, в которой нет NIC. Итак (1) вам нужен физический доступ и (2) пароль.
отредактировано для ясности
источник