Najlepsze praktyki i rozwiązania dotyczące udostępniania haseł [zamknięte]

Mamy różne hasła, które muszą być znane więcej niż jednej osobie w naszej firmie. Na przykład hasło administratora do naszych routerów internetowych, hasło do naszego hosta internetowego, a także kilka haseł innych niż IT, takich jak bezpieczne kody.

Obecnie stosujemy system ad hoc „standardowych haseł” w przypadku systemów o niskiej wartości oraz ustne udostępnianie haseł w przypadku ważniejszych / potencjalnie szkodliwych systemów. Myślę, że większość ludzi zgodzi się, że to nie jest dobry system.

Chcielibyśmy oprogramowania do przechowywania „współdzielonych” haseł, z dostępem dla każdego ograniczonym do osób, które ich naprawdę potrzebują. Idealnie byłoby to wywołać lub wymusić okresowe zmiany hasła. Powinien także być w stanie wskazać, kto ma dostęp do określonego hasła ( np. Kto zna hasło roota dla serwera XYZ?)

Czy możesz zasugerować jakieś oprogramowanie do przechowywania i udostępniania haseł? Czy jest coś szczególnego, na co należy uważać?

Jaka jest to powszechna praktyka w małych i średnich firmach?

Napotykam ten problem za każdym razem, gdy idę do nowego startupu. Pierwszą rzeczą, którą robię, jest zrobienie kilku „sejfów na hasła” za pomocą programu takiego jak ten (lub jednego z jego pochodnych):

http://passwordsafe.sourceforge.net/

Ustaw mocne kombinacje i rzuć je na udział sieciowy. Segmentuj według obszaru odpowiedzialności ... infrastruktura centralna, serwery produkcyjne, programowanie / kontrola jakości itp.

Kiedy jest wystarczająco dużo rozpędu i zakładając, że mam odpowiednie zależności środowiska Windows, chciałbym przenieść wszystkich do tego:

http://www.clickstudios.com.au/passwordstate.html

Posiada funkcje dla poświadczeń wspólnych i osobistych.

Nie można zapomnieć o konieczności cofnięcia hasła, jeśli pracownik odejdzie / zostanie zwolniony. W popularnych mediach odnotowano kilka przypadków zwolnienia pracowników i „powrotu” do ich firmy przy użyciu haseł, które były nadal aktywne po ich odejściu.

Zazwyczaj są to 2 części:

1. Znajomość wszystkich haseł, które należy zmienić (w przeciwnym razie domyślnie wszystkie są uciążliwe)
2. Ręcznie je zmieniaj lub automatyzuj proces za pomocą narzędzia lub skryptu.

Innym ważnym czynnikiem jest zapewnienie przestrzegania zasad haseł podczas wprowadzania zmian - np. Skąd wiesz, że to samo hasło nie zostało użyte na wielu kontach lub że nie zostało użyte słabe hasło?

Pracuję w małym sklepie informatycznym i od ubiegłego roku korzystamy z Secret Server do zarządzania naszymi hasłami do urządzeń sieciowych i potrzeb klientów.

Oferują „wersję instalacyjną” lub wersję online / hostowaną. Korzystamy z wersji hostowanej za mniej niż 100 USD rocznie (5 użytkowników) i możemy bezpiecznie uzyskać dostęp do informacji o haśle za pośrednictwem przeglądarki internetowej w dowolnym miejscu. Jeśli naprawdę martwisz się o bezpieczeństwo, zainstaluj go na własnym serwerze i uzyskuj do niego dostęp tylko przez LAN lub VPN.

Ponadto mój ulubiony „osobisty” internetowy menedżer haseł oferuje teraz „edycję biznesową” - PassPack .

Nie jestem pewien, jak to działa w tym scenariuszu w porównaniu z Secret Server, ale każde z tych rozwiązań powinno być znacznie bardziej wszechstronne i bezpieczne niż skrawki papieru, aplikacje komputerowe lub ( wstrzymując się ) zapamiętywanie rzeczy w twojej głowie. W przypadku „pojedynczego punktu awarii” jeden z tych produktów umożliwia łatwy eksport do pliku CSV.

Używam LastPass od dłuższego czasu i uwielbiam to. Spędziłem trochę czasu badając to pytanie w zeszłym roku i podobało mi się, jak to zrobiło LastPass.

• Wszystkie informacje są przechowywane na ich stronie (i kopii lokalnej) w zaszyfrowanym pakiecie, który tylko Ty masz hasło do odszyfrowania
• Wszystkie hasła można udostępniać i odwoływać, możesz je nawet udostępniać bez dostępu do samego hasła (w przypadku logowania do sieci)
• Wtyczki do głównych przeglądarek
• Wiele innych funkcji

Drugie zalecenie Adama dotyczące hasłaSafe, z danymi w folderze sieciowym. Mam dwa względy w tej dziedzinie. Jeden z nich ma jedną wersję, dzięki czemu wszyscy, którzy potrzebują danych, otrzymują aktualne dane.

1- HasłoSafe używa standardowego formatu pliku, więc istnieją inne rozwiązania, które mogą go odczytać, w tym KeePass.

2- Umieść plik hasła w bezpiecznym udziale i zrób nocny skrypt, który skopiuje go do kilku lokalizacji w sieci. Być może skopiuj go do udziału na innym serwerze (jeśli to możliwe poza witryną) i na dysku USB pozostawionym na serwerze. Chcesz plik przynajmniej w jednym miejscu, w którym nie jest chroniony hasłem, które przechowuje!

3- Przechowuj instalator (lub wykonywalną wersję programu) w tych samych miejscach, co plik klucza, aby w razie potrzeby szybko się do niego dostać.

4 - Niech ludzie otwierają plik TYLKO DO CZYTANIA, chyba że muszą dokonać zmiany.

5- W razie potrzeby możesz utworzyć wiele plików haseł, jeden dla poświadczeń, których potrzebuje każdy w zespole, i jeden dla poświadczeń dla naprawdę wrażliwych rzeczy.

Bym nie polecam przeniesienie do roztworu internetowej. Rozwiązanie hostowane wewnętrznie może być w porządku, ale wydaje się, że to duży problem. Martwię się również, że jest to pojedynczy punkt awarii.

Współdzielę odpowiedzialność za kilka systemów z pracownikami jednego z moich klientów. Zgodziliśmy się zastosować schemat haseł do najczęściej używanych kont. Inne hasła są przechowywane na papierowej liście par (numer, hasło), którą prowadzi szef działu IT klienta. Nazwy użytkowników i hosty są przechowywane w łatwo dostępnej bazie danych. Hasła są przekazywane na zasadzie niezbędnej wiedzy.

Powszechna praktyka w małych i średnich firmach:

Trzy miejsca, w których pracowałem, używały osobnych dokumentów do wyszczególnienia haseł do różnych systemów. Jeden dokument dla routerów i zapór ogniowych, drugi dla dostępu do serwerów i jeden dla programistów (np. Dane logowania do połączeń z bazą danych). Dostęp do aplikacji zwykle nie jest dokumentowany (zakładam, że w większości przypadków logujesz się jako użytkownik z uprawnieniami administratora).

Administrator sieci widzi tylko dokument hasła routera, a osoby mające dostęp do tego dokumentu są wymienione w tym pliku. Warunki zatrudnienia wskazują, że loginy i hasła, do których mają dostęp, są prywatne i nie mogą być udostępniane innym osobom. Podobne dla administratorów systemów i programistów.

Rzeczywistość polega na tym, że hasło jest udostępniane, ale możesz określić, kto powinien wiedzieć (i dlaczego) i zmienić to, co należy zmienić. Działało dobrze w firmie (programowej) zatrudniającej 50 pracowników.

W przypadku rzadko używanych haseł, takich jak lokalne konta administracyjne na serwerach, hasła routera i zapory sieciowej itp. W mojej ostatniej pracy, w sklepie około 50, tylko sysadmin faktycznie znał hasła. Zostały zapisane na kartce papieru w kopercie. Sądzę, że były tam trzy koperty, które zostały zapieczętowane i podpisane przez Szefa, SysAdmin i Głównego Programistę. Każda osoba miała kopię dokumentów. W przypadku użycia haseł zmieniliśmy je i wykonaliśmy nowe koperty.

W mojej obecnej pracy w znacznie większej organizacji mamy samych 15 sysadminów, a kilka tysięcy użytkowników ma metodę obliczania haseł na podstawie nazwy serwera. Obejmuje to znany przedrostek i metodę skrótu, która jest wystarczająco prosta do zrobienia na papierze. Gdy hasła wymagają zmiany, ponieważ ktoś odchodzi lub co nie, zmieniamy prefiks lub skrót lub oba te elementy. W ten sposób, choć nie znam hasła do każdej maszyny lub urządzenia wokół mnie, mógłbym je obliczyć, gdyby z jakiegoś powodu było potrzebne.

Od dzisiaj jest post Lifehackera na temat Passpacka , może warto go obejrzeć.

Miałem wcześniej ten sam problem. Skończyłem budować system, aby sobie z tym poradzić. Przechowywał nazwę użytkownika i hasło w wysoce zaszyfrowanej formie w bazie danych z interfejsem sieciowym, który pozwalałby na wprowadzenie informacji o koncie i ustawił na nim zabezpieczenia, aby tylko właściwe osoby lub grupy miały dostęp do danych.

Nie pytał, kiedy nadszedł czas na zmianę haseł, ponieważ usługi na dziesiątkach serwerów korzystały z tego samego loginu, a zmiany haseł musiały być konfigurowane z dużym wyprzedzeniem.

Zbudowałem go z pełną funkcją kontroli, dzięki czemu za każdym razem, gdy pracownik patrzy na dane logowania, jest ono rejestrowane, abyśmy mogli zrzucić dziennik kontroli do programu Excel dla audytorów SOX.

Użyj GPG z opcją Symmetric, aby zaszyfrować plik tekstowy ze wszystkimi hasłami. Następnie wszystko, co musisz zrobić, to podać jedno hasło do innych administratorów. Gdy administrator opuszcza firmę, po prostu ponownie zaszyfruj plik tekstowy za pomocą nowego hasła.

Centrify działa dla mnie.

Wow, dobry wątek! Nikt nie wspomniał o moim preferowanym rozwiązaniu (z wyjątkiem przelotu), więc zawołam KeePass. Łatwo rozszerzalne, z uwierzytelnianiem za pomocą hasła, klucza lub AD. Robi to dla nas ładnie.

Aby uzyskać dostęp do serwerów:

Zapewnij dostęp do jednego serwera i użyj go jako skoczka i zarządzaj kontami w skoku. Każdy, kto zakłada zaufanie do jumpboxa, jest zaufany do zdalnego zasobu. W ten sposób każdy ma swoje własne hasło, a hasło na serwerze dla konkretnego konta można zachować w tajemnicy.

Aby uzyskać dostęp do innych zasobów:

Ogranicz dostęp tylko do niezbędnego personelu. Pamiętaj, aby zarządzać listą zaufanych użytkowników. Zmień hasło co 90 dni i aktualizuj listę zaufanych użytkowników. Poinformuj ludzi o oczekujących zmianach 15, 7 i 1 dzień wcześniej. Przekaż hasło tylko menedżerom i pozwól im określić, kto potrzebuje dostępu. Użyj narzędzi do rejestrowania dostępu i regularnie informuj użytkowników, że są to ściśle monitorowane systemy. Wszelkie śmieszne interesy na serwerach powinny być znanym przestępstwem, które można zakończyć.

Wiem, że nie jest to dokładnie taka odpowiedź, jakiej oczekujesz, ale w moim miejscu pracy jest dokładnie taka sama, zaufani członkowie personelu otrzymują odpowiednie hasła, hasła nie są współużytkowane między urządzeniami i nie są spisywane. System zwykle działa całkiem dobrze, a administracja urządzeniami jest zwykle obowiązkiem tylko kilku pracowników. Mamy również bardzo dobrą retencję personelu, dzięki czemu zaufanie może być budowane przez długi okres czasu.

Możesz użyć oprogramowania do przechowywania haseł - w ten sposób możesz dać autoryzowanym użytkownikom własny dostęp do nich i upewnić się, że informacje nie wyciekną przez osoby pozostawiające notatki w pobliżu. Dobre prawdopodobnie nie wyświetla nawet hasła, po prostu upuszcza je do schowka w celu wklejenia.

Mamy system taki jak prezydent i bomba - każda z dwóch osób zna połowę hasła. W ten sposób nigdy nie spotkasz się z sytuacją, w której jeden nieuczciwy administrator zadziała i samodzielnie wprowadzi niezatwierdzone zmiany.

Pracuję w firmie informatycznej, mamy wielu klientów, zwykle zdalnie rozwiązujemy problem. Używamy ssh do logowania w celu rozwiązywania problemów. Dodaliśmy jeden klucz ssh do wszystkich maszyn naszych klientów, aby pomóc innym przy logowaniu i rozwiązywaniu problemów, jeśli mnie tam nie ma, ale maszyna, której używamy do logowania się na klientach, jest bardzo skuteczna zabezpieczone. Jeśli chcesz mieć dobre hasła, lepiej użyj cyfr i dodatkowych znaków.

Aby dodać klucze ssh, wykonaj następujące czynności:

1.ssh-keygen -t dsa (Aby uzyskać klucze ssh na .ssh / id_dsa.pub

2. scp .ssh / id_dsa.pub root @ remote: ~ / tmp

3. Na zdalnym komputerze

cat >> /tmp/id_dsa.pub .ssh / Author_keys2

Spróbuj się zalogować, aby usunąć macine z innej konsoli ... :) happy sshhhhhh

Odmów korzystania z systemów wymagających hasła. Każdy serwer musi się uwierzytelniać za pomocą kluczy SSH, każda strona internetowa z OpenID. Uruchom dostawcę OpenID w zaporze.

Oczywiście ten scenariusz sugeruje, że wszystkie twoje systemy są dostępne przez SSH lub HTTP, ale działa dla nas.