Вопрос: Лучшая практика и решения для обмена паролями [закрыто]


У нас есть различные пароли, которые должны быть известны более чем одному человеку в нашей компании. Например, пароль администратора для наших интернет-маршрутизаторов, пароль для нашего веб-хоста, а также несколько паролей «не ИТ», таких как безопасные коды.

В настоящее время мы используем для этого случая система «стандартных паролей» для низкоценных систем и словесное совместное использование паролей для более важных / потенциально опасных систем. Я думаю, что большинство людей согласятся, что это не очень хорошая система.

Нам нужно программное решение для хранения «общих» паролей с доступом для каждого, ограниченного людьми, которые действительно нуждаются в нем. В идеале это будет приводить к периодическим изменениям пароля или принудительному исполнению. Он также должен иметь возможность указать, кто имеет доступ к определенному паролю (например, кто знает пароль root для сервера XYZ?)

Можете ли вы предложить любые программные решения для хранения и совместного использования пароли?  Есть ли что-то особенное, о чем следует опасаться?

Для чего это обычная практика для малых и средних компаний?


61
2018-05-20 10:12


Источник


Ознакомьтесь с некоторыми ответами на мой похожий, хотя и плохо сформулированный, вопрос: serverfault.com/questions/3696/... - boflynn
«Можете ли вы предложить какие-либо программные решения для хранения и совместного использования паролей?» принадлежит к Рекомендации по программному обеспечению, - Cristian Ciupitu


Ответы:


Я сталкиваюсь с этой проблемой каждый раз, когда я перехожу к новому запуску. Первое, что я делаю, это сделать пару «Парольных сейфов» с такой программой (или одной из ее производных):

http://passwordsafe.sourceforge.net/

Установите сильные комбинации и выбросьте их на сетевой ресурс. Сегмент по области ответственности ... центральная инфраструктура, производственные серверы, dev / QA и т. Д.

Когда наступит достаточный импульс и предполагается, что у меня есть соответствующие зависимости среды Windows, мне нравится переводить всех на это:

http://www.clickstudios.com.au/passwordstate.html

Он имеет функции как для общих, так и для личных учетных данных.


25
2018-05-20 14:55



Есть ли Linux или Mac-программа, которая может читать файлы паролей? Было бы неплохо иметь хорошее решение для среды, где люди используют различные операционные системы. Лучшее, что я нашел до сих пор, - это зашифрованные текстовые файлы gpg. - Mark
Абсолютно: passwordsafe.sourceforge.net/relatedprojects.shtml - Adam D'Amico
Я проверил PasswordState, но он кажется довольно ограниченным по сравнению с другими платными решениями. С одной стороны, проверки пароля не проверяются. Однако это должно быть доступно в следующем выпуске. - Sergei
Похоже, у PasswordState теперь есть разумные функции аудита. clickstudios.com.au/about/compliance-reporting.html - Nic


Не следует забывать о необходимости уметь отзывать пароли, если сотрудник уходит / уволен. Было отмечено несколько случаев, когда в популярных СМИ сотрудники увольняются и «возвращаются» в свою компанию, используя пароли, которые по-прежнему активны после их ухода.

Обычно это 2 части:

  1. Зная все пароли, которые необходимо изменить (в противном случае вы по умолчанию все, что утомительно)
  2. Вручную изменить их или автоматизировать процесс с помощью инструмента или скрипта.

Другим важным фактором является обеспечение соблюдения политики паролей при внесении изменений. откуда вы знаете, что тот же пароль не использовался на нескольких учетных записях или что слабый пароль не использовался?


12
2018-05-20 11:06



Как наблюдение, я бы поставил это в качестве комментария, но не как ответ, поскольку он не затрагивает вопрос. Еще хороший момент. - Kara Marfia


Я работаю в небольшом ИТ-магазине, и мы используем Секретный сервер в течение прошлого года, чтобы управлять нашими паролями для наших сетевых устройств и потребностей клиентов.

Они предлагают «установочную версию» или онлайн-версию. Мы используем размещенную версию менее чем за $ 100 / год (5 пользователей) и можем безопасно получать доступ к этой информации пароля через веб-браузер в любом месте. Если вас действительно беспокоит безопасность, установите его на свой собственный сервер и получите доступ к нему только через LAN или VPN.

Кроме того, мой любимый «персональный» веб-менеджер паролей теперь предлагает «бизнес-издание» - PassPack,

Я не уверен, как он работает в этом сценарии по сравнению с Secret Server, но любое решение должно быть гораздо более универсальным и безопасным, чем обрезки бумаги, настольных приложений или (удушье) вспоминая вещи в вашей голове. Для проблемы «единственной точки отказа» любой из этих продуктов позволяет легко экспортировать в CSV.


10
2018-05-20 18:20



thycotic.com/products_secretserver_overview.html - Joseph
passpack.com/en/home - Joseph
Secret Server выглядит аккуратно, но это не дешево! - Toto


Я использую LastPass какое-то время и полюбите его. Я потратил немного времени на изучение этого вопроса в прошлом году, и мне понравилось, как LastPass это сделал.

  • Вся информация хранится на их сайте (и локальной копии) в зашифрованном пакете, что только у вас есть пароль для расшифровки
  • Все пароли являются доступными и отзывчивыми, вы даже можете делиться ими, не предоставляя доступ к самому паролю (для веб-входа)
  • Плагины для основных браузеров
  • Множество других функций

4
2018-06-23 15:04





Я второй рекомендации Адама в PasswordSafe, с данными в сетевой папке. У меня есть два соображения в этой области. У одного есть единственная версия, так что все, кому нужны данные, получают текущие данные.

1- PasswordSafe использует стандартизованный формат для файла, поэтому есть и другие решения, которые могут его прочитать, включая KeePass.

2- Поместите файл паролей на безопасный общий ресурс и получите ночной скрипт, который копирует его в несколько мест в сети. Возможно, скопируйте его на общий ресурс на другом сервере (если возможно, вне сайта) и на USB-диск, оставшийся на сервере. Вы хотите, чтобы файл был по крайней мере в одном месте, где он не защищен паролем, который он хранит!

3- Сохраните установщик (или исполняемую версию программы) в тех же местах, что и файл ключа, чтобы вы могли быстро получить его, если это необходимо.

4. Попросите людей открыть файл READ-ONLY, если только они не должны внести изменения.

5- Если необходимо, вы можете создать несколько файлов паролей, один для учетных данных, которые нужны всем в команде, и один для учетных данных для действительно чувствительных вещей.

я бы не рекомендуем перейти на веб-решение. Внутренне размещенное решение может быть в порядке, но похоже, что у него много проблем. Я также обеспокоен тем, что это единственная точка отказа.


3
2018-05-20 15:15





Я разделяю ответственность за довольно много систем с сотрудниками одного из моих клиентов. Мы согласились использовать схему паролей для наиболее часто используемых учетных записей. Другие пароли хранятся в бумажном списке пар (число, пароль), поддерживаемых начальником ИТ-отдела клиента. Имена пользователей и хосты хранятся в легкодоступной базе данных. Пароли выдаются на основе необходимости.


2
2018-05-20 11:11





Обычная практика в малых и средних компаниях:

Три места, в которых я работал, использовали отдельные документы для подробного описания паролей для разных систем. Один документ для маршрутизаторов и брандмауэров, другой для доступа к серверам и один для разработчиков (например, данные для входа в базы данных). Доступ к приложениям, как правило, не документируется (я полагаю, потому что для большинства пользователей вы входите в систему как себя с правами администратора).

Администратор сети видит только документ паролей маршрутизаторов, а лица, имеющие доступ к этому документу, перечислены в этом файле. В их условиях занятости указано, что логины и пароли, к которым у них есть доступ, являются частными и не могут использоваться другими. Похоже для систем администратора и разработчиков.

Реальность иногда пароли разделяется, но вы можете определить, кто должен знать (и почему) и изменить то, что нужно изменить. Он хорошо работал в (программной) компании из 50 сотрудников.


2
2018-05-20 11:15





Для редко используемых паролей, таких как учетные записи локального администратора на серверах, пароли маршрутизатора и брандмауэра и т. П. На моей последней работе, магазин около 50 или около того, только системный администратор действительно знал пароли. Они были записаны на листе бумаги в конверте. Я полагал, что три конверта были запечатаны и подписаны Боссом, SysAdmin и Главным программистом. У каждого человека была копия документов. В случае использования паролей мы меняли их и делали новые конверты.

В моей нынешней работе в гораздо более крупной организации у нас только 15 системных администраторов, а у нескольких тысяч пользователей есть метод вычисления паролей на основе имени сервера. Это включает известный префикс и хеш-метод, который достаточно прост для работы на бумаге. Когда пароли нуждаются в изменении, потому что кто-то уходит или что-то не меняется, префикс или хэш или оба. Таким образом, пока я не знаю пароля для каждой машины или устройства вокруг меня, я мог бы вычислить его, если бы мне это было необходимо по какой-то причине.


2
2018-05-20 17:38



Неплохая идея, можете ли вы привести пример такого легко исчисляемого хеш-метода? - Aleksandar Ivanisevic
Вы можете использовать ROT aka cesar cipher, но используя случайно выбранное число от 1 до 26 для смещения. Например, если ваш сервер был назван файловым сервером2, а префиксом был Le84D, а смещение было 18, то пароль был бы Le84Dxadwkwjnwj20 - Laura Thomas


Есть Lifehacker сообщение с сегодняшнего дня о Passpack, это, возможно, стоит посмотреть.


2
2018-05-23 15:45





Раньше у меня была такая же проблема. Я закончил строительство системы, чтобы справиться с этим сам. Он сохранил имя пользователя и пароль в зашифрованном виде в базе данных с помощью веб-интерфейса, который позволит вам вводить учетную информацию и устанавливать на ней защиту, чтобы доступ к данным могли получить только правильные люди или группы.

Он не запрашивал, когда пришло время менять пароли, поскольку службы на десятках серверов использовали один и тот же логин, и изменения в паролях должны были быть настроены заранее.

Я построил его с полной функцией аудита, так что каждый раз, когда сотрудник просматривал вход в систему, он регистрировался, чтобы мы могли сбросить журнал аудита в Excel для аудиторов SOX.


1
2018-05-20 14:53