W jaki sposób zespół administratorów systemów bezpiecznie udostępnia hasła?

Jakie są najlepsze praktyki udostępniania setek haseł kilku osobom? Te hasła chronią dane o znaczeniu krytycznym i nigdy nie będą widoczne poza małym zespołem.

Prawdopodobnie napisałbym niestandardowe rozwiązanie internetowe hostowane w korporacyjnym intranecie. (poszukaj inspiracji na http://lastpass.com lub skorzystaj z niego. Udostępnianie haseł jest jedną z jego funkcji, choć może nie działać w przypadku twojego wolumenu).

EDYCJA : Jasne, najlepsze rozwiązanie, nie udostępniaj ich. Przechowywanie haseł w postaci czystego tekstu na dowolnym nośniku jest niebezpieczne, szczególnie gdy celem jest ich udostępnianie. Istnieje prawie nieskończona liczba rozwiązań, z których każde wiąże się z niebezpieczeństwem. Dlaczego nie umieścić ich na zaszyfrowanym obrazie dysku, wypalić ten obraz na jednej płycie CD, włożyć płytę CD do sejfu, który może otworzyć tylko jeden uzbrojony strażnik, i upoważnić osoby do przedstawienia zdjęcia ze zdjęciem, aby je odblokować?

Chodzi o to, że tak naprawdę nie znamy Twojego scenariusza. Dlaczego udostępniasz setki haseł o kluczowym znaczeniu? Czy są one przeznaczone dla twojego intranetu, sieci VPN, czy są to hasła klientów, które z jakiegoś powodu przechowujesz w postaci zwykłego tekstu? Czy wszystkie osoby, którym musisz się nią dzielić w tej samej instalacji? Czy fizyczne przeniesienie, takie jak zaszyfrowana płyta CD lub wydrukowany stolik przechowywane w sejfie, rzeczywiście działałoby? A może Twoi sysadmini są rozsiani po całym świecie, dzięki czemu jedynym sposobem jest elektroniczne udostępnianie ich ?

Najlepszą praktyką jest nie udostępnianie haseł. Skorzystaj z narzędzi takich jak sudo, aby umożliwić użytkownikom dostęp do konta z własnego konta. Jeśli masz kilku użytkowników, każdy powinien mieć własne konto w razie potrzeby. LDAP (Unix / Linux) i Active Directory to dobre rozwiązanie do udzielania dostępu do wielu serwerów ze wspólnej bazy danych.

Gdy konieczne jest posiadanie pisemnej kopii hasła, należy je zapieczętować w kopercie podpisanej i opatrzonej datą w poprzek pieczęci. Zmień hasło, gdy jest używane. Po zmianie hasła zapieczętuj nową kopertę.

W przypadku haseł, które naprawdę muszą być udostępniane, użyj jednego z narzędzi do haseł, takich jak Keepass, które mogą mieć bazę danych w sieci. Narzędzia z klientami dla wielu platform są lepsze. Zastanów się, czy potrzebujesz więcej niż jednej bazy danych. Pamiętaj, że musisz naprawdę zaufać wszystkim, którzy mają dostęp do tych danych.

Poszliśmy z KeePass właśnie w tym celu. To świetny mały program, który przechowuje wszystkie hasła w zaszyfrowanym pliku bazy danych. Istnieją dodatkowe funkcje bezpieczeństwa, takie jak potrzeba pliku klucza wraz z hasłem głównym, aby uzyskać dostęp do haseł. Umożliwia to stosowanie wielu warstw zabezpieczeń (oddzielenie pliku klucza i bazy danych), jednocześnie zapewniając wszystkim wygodną pracę z wszystkimi różnymi hasłami. Na przykład możesz uruchomić aplikację i plik klucza z dysku USB, ale gdzieś przechowywać bazę danych w sieci. Wymagałoby to poświadczeń dla udziału sieciowego, głównego hasła i fizycznego napędu USB z plikiem klucza.

Jakie są najlepsze praktyki udostępniania setek haseł kilku osobom?

Łatwo, występuje w dwóch smakach:

1. Nie, jasne i proste. Jeśli to zrobisz, odroczysz uwierzytelnianie hasła do zewnętrznego zaufanego organu i stamtąd kontrolujesz uwierzytelnianie.

2. Robisz to, ale robiąc to, masz zewnętrzną kontrolę dostępu, która ma hasła lub tokeny bezpieczeństwa, które nie są rejestrowane w używanym systemie (tj. Zapis haseł jest chroniony innym hasłem o ograniczonej dostępności). Jest z tym wiele problemów.

Te hasła chronią dane o znaczeniu krytycznym i nigdy nie będą widoczne poza małym zespołem.

Należy poważnie rozważyć bezpieczną usługę uwierzytelniania zintegrowaną z usługą katalogową w celu rozwiązania problemu. Kombinacja DS / AS tworzy zaufany „organ”, który może działać jako arbiter dla wszystkich użytkowników i urządzeń. Dostęp do kont użytkowników można oddzielić od faktycznego hasła użytego do uwierzytelnienia, co ułatwia „odłączenie” haseł od zasad dostępu. Kontrola haseł polega na dezaktywacji konta użytkownika; więc jeśli administrator odejdzie, po prostu zamkniesz jego konto, a jego dostęp zniknie (ponieważ hasło tej osoby zapewnia dostęp tylko na podstawie ważności DS / AS potwierdzającego, że konto jest ważne).

Działa to tylko wtedy, gdy jesteś w środowisku, które pozwala twoim urządzeniom / programom przesyłać żądania uwierzytelnienia do zewnętrznych źródeł, więc może to nie być dla ciebie rozwiązaniem . Jeśli masz znaczny odsetek urządzeń / programów, które mogą obsługiwać zewnętrzne uwierzytelnianie, to zrobiłbym to, gdyby tylko skonsolidować kilkaset haseł do możliwej do zarządzania listy, powiedzmy, tuzina. Jeśli zdecydujesz się pójść tą drogą, istnieje kilka gotowych, dobrze znanych i przetestowanych rozwiązań.

• Active Directory. Prawdopodobnie najbardziej znana z tej grupy, udostępnia Kerberos jako opcję uwierzytelniania i zapewnia LDAP dla podstawowych DS.
• Samba / Winbind. Pomyśl o tym jako o „Active Directory Light”, nie masz wszystkich funkcji AD, ale raczej starszy model oparty na NT4 (pomyśl hash LANMAN). Zostanie to zastąpione integracją AD Samby 4 i prawdopodobnie „odejdzie”.
• Usługi katalogowe Novell. Nie wiem wystarczająco dużo, aby go polecić, ale wiem, że nadal istnieje. Wiele podmiotów rządowych nadal prowadzi NDS, więc jeśli wykonujesz pracę w tym „sektorze”, będzie to dla Ciebie interesujące. Novell niedawno przeniósł NDS do działania jako usługa Linux, ale nie wiem, czy nadal jest to aktywny produkt (około 2005 r.).
• LDAP + Kerberos. Jest to w zasadzie „domowa” usługa Active Directory, pomniejszona o wszystkie „miłe funkcje”. Są to jednak również znane komponenty ze stabilną, dojrzałą bazą kodu, więc integracja tych usług jest zwykle „dostosowaniem” potrzebnym do działania.
• SSH Keys + (wstaw tutaj program do administrowania systemem, prawdopodobnie marionetka). Przydatne tylko wtedy, gdy masz SSH na całej tablicy, a wszystkie urządzenia są dostępne w ten sposób. Klucze można wydawać i odwoływać w razie potrzeby, a hasła stają się „nieistotne”, gdy klucz SSH zapewnia dostęp. Korzystanie z systemu takiego jak marionetka umożliwia aktualizację setek maszyn poprzez wydawanie komend masowych w celu dodania / odwołania kluczy SSH.
• Niektóre kombinacje powyższych.

Pojawia się również pytanie, ile bezpieczeństwa potrzebujesz. Nie określiłeś, czy przez „krytyczny dla misji” masz na myśli, że głowice nuklearne mogą padać na miasta, czy też „dla krytycznej misji” oznacza, że ​​najnowsza dostawa Furbies nie dotrze do miasta. Naprawdę by to pomogło, gdyby było coś, co opisywało ocenę ryzyka / zagrożenia.

Kilka spraw:

• Jak powiedzieli inni, to zły pomysł. Użyj LDAP itp
• Jeśli chcesz to zrobić z jakiegokolwiek powodu, przynajmniej skonsoliduj hasła. 100 niezarządzanych haseł oznacza, że ​​nie aktualizujesz haseł.
• Trzymaj je na papierze. Wymagaj, aby personel podpisał papier atramentem w innym kolorze, aby ułatwić ustalenie, czy arkusz został skopiowany.
• Jeśli korzystasz z Uniksa, użyj S / KEY, aby wygenerować hasła jednorazowe. Przechowuj to w bezpiecznym miejscu.

Musisz także wykroczyć poza mechaniczne środki bezpieczeństwa polegające na umieszczeniu haseł papierowych w sejfie lub szyfrowaniu haseł. Przeczytaj, jak organizacje z dojrzałymi modelami zabezpieczeń zabezpieczają klucze i bezpieczne kombinacje. Nie polecam robić tego, co chcesz, ale jeśli to zrobisz:

• Ludzie, którzy będą używać haseł, nie mogą kontrolować dostępu do haseł. Odrębna grupa ludzi z innego łańcucha zarządzania musi kontrolować dostęp do sejfu, szuflady itp. Jeśli masz grupę finansową, mogą być kandydatami. Może wiceprezes ds. Marketingu itp.
• Kiedy sejf jest otwarty, a ktoś musi posiadać hasło, musi istnieć zapisany dziennik.
• Hasło musi zostać zmienione w ciągu 24 godzin od sprawdzenia.

Procedury takie jak ta powodują ból szyi, ale będą stanowić zachętę dla ludzi do przyjęcia bardziej rozsądnych praktyk. Jeśli nie zrobisz czegoś podobnego do tego, co opisałem, nie zawracaj sobie głowy zamykaniem haseł, bo i tak kiedyś zostaniesz złamany.

Wiem, że to stare pytanie, ale niedawno natknąłem się na internetowe rozwiązanie open source o nazwie Corporate Vault, które może być interesujące dla niektórych. Nie miałem jeszcze okazji tego wypróbować.

korzystamy z programu o nazwie Password Safe . jest ładna i bardzo bezpieczna, możesz ustawić bazę danych na dysku sieciowym i dać każdemu, kto jej potrzebuje, dostęp i hasło do samego sejfu, który następnie bezpiecznie przechowuje wszystkie nazwy użytkowników i hasła zaszyfrowane.

https://pypi.python.org/pypi/django-pstore/ używa szyfrowania GPG dla użytkownika dla współdzielonych haseł (i wszelkich innych danych, które chcesz udostępnić). Serwer nigdy nie wie o żadnych hasłach, przechowuje tylko zaszyfrowane dane. Każdy używa własnego klucza prywatnego do odszyfrowania wspólnych tajemnic.

System obejmuje zarządzanie prawami: nie każdy ma pełny dostęp.

Używamy https://passwork.me jako rozwiązania hostowanego przez siebie. Ale możesz także przechowywać hasła w ich chmurze.

Portfel SPB to dobry sposób, w jaki używaliśmy PW bezpiecznie przez ducha, ale portfel SPB pozwala synchronizować z udziałem sieciowym, a także synchronizować z iPhone'em, jeśli dostaniesz aplikację. Ma również wbudowany generator haseł i możesz je generować od prostych haseł do bardzo skomplikowanych haseł. Możesz również skopiować hasło, gdy hasło jest wciąż oznaczone gwiazdką, więc jeśli ktoś szuka, możesz je skopiować i wkleić, aby nikt go nie widział. Aplikacja na komputer automatycznie się blokuje, gdy przez określony czas nie będzie żadnej aktywności.

Inną opcją jest usługa Azure Key Vault, która bezpiecznie przechowuje twoje sekrety i pozwala ci na programowy dostęp do nich, łatwe obracanie haseł itp. Nie jest to przyjemny interfejs użytkownika, ale jeśli nie masz nic przeciwko dostępowi z wiersza poleceń, to dobrze.

Naszą najlepszą praktyką jest udostępnianie jak najmniejszej liczby haseł.

Dlatego na przykład: - używamy my.cnf w katalogu głównym katalogu głównego dla haseł do bazy danych - używamy kluczy ssh do logowania na serwery i mamy jedno hasło roota, które jest dozwolone tylko przez konsolę (więc musisz mieć fizyczny / bmc dostęp do serwera ) - używaj ldap wszędzie, gdzie to możliwe (ssh, bmc, przełączniki, redmine, ....)

Istnieje jednak kilka sytuacji, w których nie jesteśmy w stanie zastosować tego podejścia (np. Hasło roota). Następnie używamy keepass na naszej wspólnej pamięci, ale przechowujemy tam zaledwie 10 haseł.

Bardzo dobre pytanie. Byłbym zainteresowany innymi odpowiedziami.

Oto, co robię, ale najpierw zalecam używanie kluczy współdzielonych, tam gdzie to możliwe. Nie wiem jednak, czy jest to możliwe w systemach Windows.

Ponieważ ilość haseł powinna być niewielka (używasz kluczy tam, gdzie to możliwe), używam zwykłego pliku tekstowego zaszyfrowanego gpg w systemie, który nie ma karty sieciowej. Zatem (1) potrzebujesz dostępu fizycznego i (2) hasła.

zredagowane dla jasności