แนวทางปฏิบัติที่ดีที่สุดและโซลูชันสำหรับการแบ่งปันรหัสผ่าน [ปิด]

เรามีรหัสผ่านที่หลากหลายซึ่งจำเป็นต้องรู้มากกว่าหนึ่งคนใน บริษัท ของเรา ตัวอย่างเช่นรหัสผ่านของผู้ดูแลระบบไปยังเราเตอร์อินเทอร์เน็ตของเรารหัสผ่านสำหรับโฮสต์เว็บของเราและรหัสผ่าน "ไม่ใช่ IT" สองสามอย่างเช่นรหัสที่ปลอดภัย

ขณะนี้เราใช้ระบบเฉพาะกิจของ "รหัสผ่านมาตรฐาน" สำหรับระบบที่มีค่าต่ำและการแบ่งปันรหัสผ่านด้วยวาจาสำหรับระบบที่มีความสำคัญ / อาจเป็นอันตรายมากกว่า ฉันคิดว่าคนส่วนใหญ่จะยอมรับว่านี่ไม่ใช่ระบบที่ดี

สิ่งที่เราต้องการคือโซลูชันซอฟต์แวร์สำหรับการจัดเก็บรหัสผ่าน "ที่ใช้ร่วมกัน" โดยมีการ จำกัด การเข้าถึงสำหรับแต่ละคนที่ต้องการใช้งานจริง เป็นการดีที่จะแจ้งหรือบังคับใช้การเปลี่ยนรหัสผ่านเป็นระยะ ควรระบุว่าใครสามารถเข้าถึงรหัสผ่านเฉพาะ ( เช่นใครจะรู้รหัสผ่านรูทสำหรับเซิร์ฟเวอร์ XYZ?)

คุณสามารถแนะนำโซลูชันซอฟต์แวร์ใด ๆ สำหรับการจัดเก็บและแบ่งปันรหัสผ่านได้หรือไม่ มีอะไรพิเศษไหมที่ต้องระวัง?

การปฏิบัติทั่วไปใน บริษัท ขนาดเล็กขนาดกลางคืออะไร

ฉันประสบปัญหานี้ทุกครั้งที่ฉันเริ่มต้นใหม่ สิ่งแรกที่ฉันทำคือทำสอง "รหัสผ่านตู้นิรภัย" กับโปรแกรมเช่นนี้ (หรือหนึ่งในอนุพันธ์):

http://passwordsafe.sourceforge.net/

ตั้งค่าการรวมกันที่แข็งแกร่งและโยนพวกเขาในเครือข่ายร่วมกัน แบ่งตามพื้นที่รับผิดชอบ ... โครงสร้างพื้นฐานส่วนกลางเซิร์ฟเวอร์การผลิต dev / QA ฯลฯ

เมื่อมีโมเมนตัมเพียงพอและสมมติว่าฉันมีสภาพแวดล้อม Windows ที่เหมาะสมฉันก็อยากจะย้ายทุกคนมาที่นี่:

http://www.clickstudios.com.au/passwordstate.html

มันมีคุณสมบัติสำหรับข้อมูลประจำตัวที่ใช้ร่วมกันและส่วนบุคคล

ไม่ควรลืมคือความต้องการในการเพิกถอนรหัสผ่านหากพนักงานลาออก / ถูกไล่ออก มีหลายกรณีที่บันทึกไว้ในสื่อยอดนิยมของพนักงานที่ถูกไล่ออกและ 'กลับมา' ที่ บริษัท ของพวกเขาโดยใช้รหัสผ่านที่ยังคงใช้งานได้หลังจากที่พวกเขาออกจาก

โดยทั่วไปจะเป็น 2 ส่วน:

1. รู้รหัสผ่านทั้งหมดที่จำเป็นต้องเปลี่ยน (ไม่เช่นนั้นคุณจะตั้งค่าเริ่มต้นให้เป็นรหัสที่น่าเบื่อทั้งหมด)
2. การเปลี่ยนแปลงด้วยตนเองหรือกระบวนการอัตโนมัติด้วยเครื่องมือหรือสคริปต์

ปัจจัยสำคัญอีกประการหนึ่งคือการทำให้มั่นใจว่านโยบายรหัสผ่านจะถูกปฏิบัติตามเมื่อมีการเปลี่ยนแปลงเช่นคุณจะรู้ได้อย่างไรว่ารหัสผ่านเดียวกันนี้ไม่ได้ถูกใช้กับหลายบัญชีหรือว่าไม่มีการใช้รหัสผ่านที่อ่อนแอ

ฉันทำงานในร้านไอทีเล็ก ๆ และเราใช้Secret Serverในปีที่ผ่านมาเพื่อจัดการรหัสผ่านของเราสำหรับอุปกรณ์เครือข่ายและความต้องการของลูกค้า

พวกเขาเสนอ "รุ่นติดตั้ง" หรือรุ่นออนไลน์ / โฮสต์ เราใช้รุ่นโฮสต์สำหรับน้อยกว่า $ 100 / ปี (ผู้ใช้ 5 คน) และสามารถเข้าถึงข้อมูลรหัสผ่านนี้อย่างปลอดภัยผ่านทางเว็บเบราว์เซอร์ทุกที่ที่เราไป หากคุณกังวลเกี่ยวกับความปลอดภัยให้ติดตั้งบนเซิร์ฟเวอร์ของคุณเองและเข้าถึงได้ผ่าน LAN หรือ VPN เท่านั้น

นอกจากนี้ที่ชื่นชอบ "ส่วนบุคคล" ผู้จัดการรหัสผ่าน web-based ตอนนี้มี "ฉบับธุรกิจ" - PassPack

ฉันไม่แน่ใจว่ามันทำงานอย่างไรในสถานการณ์นี้เมื่อเทียบกับ Secret Server แต่วิธีแก้ปัญหาทั้งสองควรมีความหลากหลายและปลอดภัยกว่าเศษกระดาษแอพเดสก์ท็อปหรือ ( หอบ ) จดจำสิ่งที่อยู่ในหัวของคุณ สำหรับข้อกังวล "ข้อผิดพลาดเพียงจุดเดียว" ผลิตภัณฑ์เหล่านี้สามารถส่งออกเป็น CSV ได้อย่างง่ายดาย

ฉันใช้LastPassมาระยะหนึ่งแล้วก็ชอบมัน ฉันใช้เวลาค้นคว้าคำถามนี้เมื่อปีที่แล้วและชอบวิธี LastPass ที่ทำ

• ข้อมูลทั้งหมดจะถูกเก็บไว้ในเว็บไซต์ (และสำเนาในเครื่อง) ในชุดข้อมูลที่เข้ารหัสซึ่งมีเพียงคุณเท่านั้นที่มีรหัสผ่านในการถอดรหัส
• รหัสผ่านทั้งหมดสามารถแชร์และเพิกถอนได้คุณยังสามารถแบ่งปันได้โดยไม่ต้องให้สิทธิ์การเข้าถึงรหัสผ่านเอง (สำหรับการเข้าสู่ระบบเว็บ)
• ปลั๊กอินสำหรับเบราว์เซอร์หลัก
• คุณสมบัติอื่น ๆ มากมาย

ฉันแนะนำ Adam เป็นครั้งที่สองเกี่ยวกับ PasswordSafe ด้วยข้อมูลในโฟลเดอร์เครือข่าย ฉันมีข้อควรพิจารณาสองประการในด้านนี้ หนึ่งมีรุ่นเดียวเพื่อให้ทุกคนที่ต้องการข้อมูลได้รับข้อมูลปัจจุบัน

1- รหัสผ่าน PasswordSafe ใช้รูปแบบมาตรฐานสำหรับไฟล์ดังนั้นจึงมีวิธีแก้ไขปัญหาอื่น ๆ ที่สามารถอ่านได้รวมถึง KeePass

2- วางไฟล์รหัสผ่านบนการแชร์ที่ปลอดภัยและมีสคริปต์ทุกคืนที่คัดลอกไปยังที่ตั้งสองแห่งบนเครือข่าย บางทีคัดลอกไปที่การแชร์บนเซิร์ฟเวอร์อื่น (นอกสถานที่ถ้าทำได้) และไปยังไดรฟ์ USB ที่เหลืออยู่ในเซิร์ฟเวอร์ คุณต้องการไฟล์อย่างน้อยหนึ่งที่มันไม่ได้ป้องกันด้วยรหัสผ่านที่มันถูกจัดเก็บ!

3- จัดเก็บโปรแกรมติดตั้ง (หรือเวอร์ชันที่รันได้ของโปรแกรม) ในจุดเดียวกับไฟล์คีย์เพื่อให้คุณสามารถติดตั้งได้อย่างรวดเร็วหากจำเป็น

4- ให้คนเปิดไฟล์อ่านอย่างเดียวเว้นแต่พวกเขาจะต้องทำการเปลี่ยนแปลง

5- หากจำเป็นคุณสามารถสร้างไฟล์รหัสผ่านหลายไฟล์หนึ่งไฟล์สำหรับข้อมูลประจำตัวที่ทุกคนในทีมต้องการและอีกหนึ่งไฟล์สำหรับหนังสือรับรองสำหรับสิ่งที่อ่อนไหวจริงๆ

ฉันไม่แนะนำให้ย้ายไปใช้โซลูชันบนเว็บ วิธีแก้ปัญหาที่โฮสต์ภายในอาจตกลง แต่ดูเหมือนปัญหามาก ฉันยังกังวลเกี่ยวกับมันว่าเป็นจุดเดียวของความล้มเหลว

ฉันแบ่งปันความรับผิดชอบสำหรับระบบไม่กี่ระบบกับพนักงานของหนึ่งในลูกค้าของฉัน เราได้ตกลงที่จะใช้รูปแบบรหัสผ่านสำหรับบัญชีที่ใช้บ่อยที่สุด รหัสผ่านอื่น ๆ จะถูกเก็บไว้ในรายการกระดาษของคู่ (หมายเลขรหัสผ่าน) ที่ดูแลโดยหัวหน้าฝ่ายไอทีของลูกค้า ชื่อผู้ใช้และโฮสต์จะถูกเก็บไว้ในฐานข้อมูลที่สามารถเข้าถึงได้ง่าย รหัสผ่านจะถูกส่งออกไปบนพื้นฐานที่จำเป็นต้องรู้

การปฏิบัติทั่วไปใน บริษัท ขนาดเล็ก - กลาง:

สถานที่สามแห่งที่ฉันเคยทำงานใช้เอกสารแยกต่างหากเพื่อกำหนดรหัสผ่านอย่างละเอียดสำหรับระบบที่แตกต่างกัน เอกสารหนึ่งสำหรับเราเตอร์และไฟร์วอลล์เอกสารหนึ่งสำหรับการเข้าถึงเซิร์ฟเวอร์และอีกฉบับสำหรับนักพัฒนา (เช่นรายละเอียดการเข้าสู่ระบบสำหรับการเชื่อมต่อฐานข้อมูล) การเข้าถึงแอปพลิเคชันมักไม่ได้รับการบันทึกไว้ (ฉันถือว่าเพราะส่วนใหญ่คุณเข้าสู่ระบบด้วยตัวคุณเองด้วยสิทธิ์ของผู้ดูแลระบบ)

ผู้ดูแลระบบเครือข่ายจะเห็นเฉพาะเอกสารรหัสผ่านเราเตอร์และบุคคลที่มีสิทธิ์เข้าถึงเอกสารนี้จะแสดงรายการในไฟล์นี้ เงื่อนไขการจ้างงานของพวกเขาที่เข้าสู่ระบบและรหัสผ่านที่พวกเขามีการเข้าถึงเป็นส่วนตัวและไม่ให้ใช้ร่วมกับผู้อื่น คล้ายกันสำหรับผู้ดูแลระบบและนักพัฒนา

ในความเป็นจริงบางครั้งรหัสผ่านจะถูกแชร์ แต่คุณสามารถระบุได้ว่าใครต้องรู้ (และทำไม) และเปลี่ยนแปลงสิ่งที่จำเป็นต้องเปลี่ยน มันทำงานได้ดีใน บริษัท (ซอฟต์แวร์) ของพนักงาน 50 คน

สำหรับไม่ค่อยใช้รหัสผ่านเช่นบัญชีผู้ดูแลท้องถิ่นบนเซิร์ฟเวอร์เราเตอร์และรหัสผ่านไฟร์วอลล์และชอบที่งานล่าสุดของฉันร้านค้าประมาณ 50 หรือดังนั้นเพียงดูแลระบบจริงรู้รหัสผ่าน พวกเขาเขียนลงบนกระดาษในซองจดหมาย มีฉันเชื่อว่าซองจดหมายสามฉบับที่ผนึกและเซ็นชื่อโดย Boss, SysAdmin และหัวหน้าโปรแกรมเมอร์ แต่ละคนมีสำเนาของเอกสาร ในกรณีที่มีการใช้รหัสผ่านเราทำการเปลี่ยนแปลงและสร้างซองจดหมายใหม่

ในงานปัจจุบันของฉันในองค์กรที่ใหญ่กว่ามากเรามีระบบดูแลระบบเพียง 15 เครื่องและผู้ใช้สองพันคนเรามีวิธีการคำนวณรหัสผ่านตามชื่อเซิร์ฟเวอร์ ซึ่งรวมถึงคำนำหน้ารู้จักและวิธีแฮชที่ง่ายพอที่จะทำบนกระดาษ เมื่อรหัสผ่านจำเป็นต้องเปลี่ยนเพราะมีคนเหลือหรือเราไม่เปลี่ยนคำนำหน้าหรือแฮชหรือทั้งสองอย่าง ด้วยวิธีนี้ในขณะที่ฉันไม่ทราบรหัสผ่านสำหรับทุกเครื่องหรืออุปกรณ์ที่อยู่รอบตัวฉันฉันสามารถคำนวณได้หากฉันต้องการด้วยเหตุผลบางอย่าง

มีLifehackerโพสต์ตั้งแต่วันนี้เกี่ยวกับPasspackมันอาจจะคุ้มค่าดู

ฉันเคยมีปัญหาเดียวกันมาก่อน ฉันสิ้นสุดการสร้างระบบเพื่อจัดการกับตัวเอง มันเก็บชื่อผู้ใช้และรหัสผ่านในรูปแบบการเข้ารหัสสูงภายในฐานข้อมูลด้วย Web Interface ซึ่งจะช่วยให้คุณป้อนข้อมูลบัญชีและตั้งค่าความปลอดภัยเพื่อให้เฉพาะบุคคลหรือกลุ่มที่ถูกต้องเท่านั้นที่สามารถเข้าถึงข้อมูลได้

ไม่ได้แจ้งให้ทราบเมื่อถึงเวลาต้องเปลี่ยนรหัสผ่านเนื่องจากบริการต่างๆของเซิร์ฟเวอร์หลายสิบเครื่องใช้การเข้าสู่ระบบแบบเดียวกันและการเปลี่ยนรหัสผ่านจะต้องมีการตั้งค่าไว้ล่วงหน้า

ฉันสร้างมันด้วยคุณสมบัติการตรวจสอบเต็มรูปแบบเพื่อให้ทุกครั้งที่พนักงานดูการเข้าสู่ระบบมันถูกบันทึกไว้เพื่อให้เราสามารถถ่ายโอนบันทึกการตรวจสอบไปยัง Excel สำหรับผู้ตรวจสอบ SOX

ใช้ GPG ด้วยตัวเลือก Symmetric เพื่อเข้ารหัสไฟล์ข้อความด้วยรหัสผ่านทั้งหมดในนั้น จากนั้นทั้งหมดที่คุณต้องทำคือให้วลีรหัสผ่านหนึ่งเดียวกับผู้ดูแลระบบคนอื่น ๆ เมื่อผู้ดูแลระบบออกจาก บริษัท ให้เข้ารหัสไฟล์ข้อความใหม่ด้วยวลีรหัสผ่านใหม่

Centrify ทำงานให้ฉัน

ว้าวเยี่ยมเลย! ไม่มีใครพูดถึงวิธีแก้ปัญหาที่ฉันชอบ (ยกเว้นเมื่อผ่าน) ดังนั้นฉันจะส่งเสียงร้องให้ KeePass ขยายได้อย่างดีด้วยการตรวจสอบรหัสผ่านคีย์หรือโฆษณา ทำหน้าที่อย่างดีสำหรับเรา

สำหรับการเข้าถึงเซิร์ฟเวอร์:

ให้การเข้าถึงเซิร์ฟเวอร์เดียวและใช้เป็น jumpbox และจัดการบัญชีบนกล่องกระโดด บุคคลใดที่สันนิษฐานว่าเชื่อถือได้สำหรับ jumpbox นั้นจะเชื่อถือได้กับทรัพยากรระยะไกล วิธีนี้ทุกคนมีรหัสผ่านของตนเองและรหัสผ่านบนเซิร์ฟเวอร์สำหรับบัญชีเฉพาะสามารถเก็บเป็นความลับ

สำหรับการเข้าถึงทรัพยากรอื่น ๆ :

จำกัด การเข้าถึงเฉพาะบุคลากรที่จำเป็นเท่านั้น ตรวจสอบให้แน่ใจเพื่อจัดการรายชื่อผู้ใช้ที่เชื่อถือได้ เปลี่ยนรหัสผ่านทุก 90 วันและอัปเดตรายการผู้ใช้ที่เชื่อถือได้ บอกกล่าวผู้คนถึงการเปลี่ยนแปลงที่รออยู่ 15, 7 และ 1 วันล่วงหน้า แจกจ่ายรหัสผ่านไปยังผู้จัดการเท่านั้นและอนุญาตให้พวกเขาตัดสินว่าใครต้องการเข้าถึง ใช้ยูทิลิตี้เพื่อบันทึกการเข้าถึงและแจ้งให้ผู้ใช้ทราบอย่างสม่ำเสมอว่าพวกเขาได้รับการตรวจสอบระบบอย่างใกล้ชิด ธุรกิจใด ๆ ตลกบนเซิร์ฟเวอร์ควรเป็นความผิดที่รู้จักสิ้นสุด

ฉันรู้ว่านี่ไม่ใช่คำตอบที่คุณต้องการ แต่ในสถานที่ทำงานของฉันมันเหมือนกันทุกประการสมาชิกที่ไว้ใจได้ของพนักงานจะได้รับรหัสผ่านที่เกี่ยวข้องรหัสผ่านจะไม่ถูกแชร์ในอุปกรณ์ต่างๆ ระบบมีแนวโน้มที่จะทำงานได้ค่อนข้างดีเนื่องจากการดูแลอุปกรณ์มักเป็นความรับผิดชอบของสมาชิกเพียงไม่กี่คน นอกจากนี้เรายังมีพนักงานที่ดีมากเพื่อให้สามารถสร้างความเชื่อมั่นในระยะเวลานาน

คุณอาจต้องการใช้ซอฟท์แวร์รหัสผ่านรหัสผ่านบางประเภทซึ่งเป็นวิธีที่คุณสามารถให้สิทธิ์ผู้ใช้ที่ได้รับอนุญาตให้พวกเขาเข้าถึงและตรวจสอบให้แน่ใจว่าข้อมูลไม่รั่วไหลจากคนที่ทิ้งโน้ตไว้ รหัสที่ดีอาจไม่แสดงรหัสผ่านเพียงแค่วางลงในคลิปบอร์ดเพื่อวาง cut'n

เรามีระบบเช่นประธานาธิบดีและระเบิด - คนสองคนรู้รหัสผ่านครึ่งหนึ่ง ด้วยวิธีนี้คุณจะไม่เคยได้รับสถานการณ์ที่ผู้ดูแลระบบโกงรายเดียวออกไปและทำการเปลี่ยนแปลงที่ไม่ได้รับการอนุมัติด้วยตนเอง

ฉันทำงานใน บริษัท ไอทีเรามีลูกค้ามากมายโดยปกติแล้วเราจะแก้ปัญหาจากระยะไกล เราใช้ ssh เพื่อเข้าสู่ระบบเพื่อแก้ไขปัญหา เราได้เพิ่มเครื่อง ssh-key หนึ่งเครื่องให้กับเครื่องไคลเอนต์ทั้งหมดของเราเพื่อที่จะเป็นประโยชน์ต่อผู้อื่นในการเข้าสู่ระบบและแก้ไขปัญหาหากฉันไม่ได้อยู่ที่นั่น แต่เครื่องที่เราใช้เพื่อเข้าสู่เครื่องลูกค้าของ Macine ปลอดภัย หากคุณต้องการมีรหัสผ่านที่ดีควรใช้ตัวเลขและอักขระพิเศษเพิ่มเติม

ในการเพิ่มปุ่ม ssh ดังต่อไปนี้:

1.ssh-keygen -t dsa (หากต้องการรับคีย์ ssh บน. ssh / id_dsa.pub

2. scp .ssh / id_dsa.pub root @ remote: ~ / tmp

3. บนเครื่องระยะไกล

cat >> /tmp/id_dsa.pub .ssh / authorized_keys2

ลองเข้าสู่ระบบเพื่อลบ macine จากคอนโซลอื่น ... :) มีความสุข sshhhhhh

ปฏิเสธที่จะใช้ระบบที่ต้องใช้รหัสผ่าน เซิร์ฟเวอร์ใด ๆ ต้องรับรองความถูกต้องด้วยคีย์ SSH เว็บไซต์ใด ๆ ที่มี OpenID เรียกใช้ผู้ให้บริการ OpenID ภายในไฟร์วอลล์

เห็นได้ชัดว่าสถานการณ์นี้บ่งบอกถึงระบบทั้งหมดของคุณที่สามารถเข้าถึงได้ผ่าน SSH หรือ HTTP แต่มันใช้งานได้สำหรับเรา