Mam osobiście około 20 kont (mój osobisty identyfikator użytkownika na wielu komputerach). W przypadku wspólnych kont „systemowych” istnieje około 45 na środowisko; rozwój, testowanie i produkcja. Mam dostęp do 2 z nich, więc moja osobista suma to około 115 kont. Hasła muszą mieć co najmniej 15 znaków z pewnymi rozbudowanymi, ale standardowymi ograniczeniami złożoności, i muszą być zmieniane co około 60 dni (konta systemowe co roku). Nie powinny być również takie same dla różnych kont, ale nie jest to egzekwowane. Pomyśl o standardach typu DoD. Nie da się tego zapamiętać i nadążyć. Z mojego punktu widzenia jest to po prostu niemożliwe.
Może to być dobre uzasadnienie scentralizowanego systemu zarządzania kontami, la LDAP lub ActiveDirectory, ale to zupełnie inna bitwa.
Obecnie rozwiązaniem jest arkusz kalkulacyjny Excel. Używają programu Excel do umieszczenia na nim hasła, a następnie większość osób wykonuje kopię i usuwa hasło. To wywołuje u mnie mdłości.
Używam KeePass do tego problemu i bardzo dobrze zarządza wszystkimi moimi kontami. Lubię takie funkcje, jak automatyczne pisanie, grupowanie, wtyczki, generowanie haseł itp. Korzysta z szyfrowania AES-256 za pośrednictwem frameworku .Net i choć nie jest zgodny ze standardem FIPS, ma bardzo dobrą reputację.
Jedynym problemem jest to, że nie pozwalają nam na korzystanie z losowo pobranego oprogramowania. Musimy więc uzasadnić każde oprogramowanie na naszych stacjach roboczych. Powiedziano mi, że tak naprawdę nie chcą, żebym tego używał, z powodu „wrażliwej natury” przechowywania haseł. westchnienie Moje uzasadnienie musi być „BARDZO BARDZO silne”.
Zadanie polegało mi na napisaniu uzasadnienia dla KeePass, chciałbym uzyskać wszelkie informacje, które mogę uzyskać od społeczności. Co polecasz? Czy istnieje coś lepszego lub bardziej szanowanego niż KeePass? Czy są eksperci ds. Bezpieczeństwa, którzy mówią ciekawe rzeczy na ten temat? W tym momencie wszystko pomoże. Dzięki.