ทีมของผู้ดูแลระบบจะแชร์รหัสผ่านอย่างปลอดภัยได้อย่างไร

83

แนวทางปฏิบัติที่ดีที่สุดในการแบ่งปันรหัสผ่านหลายร้อยรหัสในคนไม่กี่คนคืออะไร รหัสผ่านเหล่านี้ปกป้องข้อมูลสำคัญของภารกิจและไม่สามารถมองเห็นได้เกินกว่าทีมเล็ก ๆ

password-management 
คริสเฮนรี่
แหล่งที่มา
3
Zoredache
11
หลายร้อย BTW เป็นจำนวนที่หนักใจมาก จะเกิดอะไรขึ้นเมื่อสมาชิกคนใดคนหนึ่งในทีมถูกไล่ออก การอัปเดตรหัสผ่านนับร้อยจะเจ็บปวด
Zoredache
2
สิ่งที่สองที่เกี่ยวกับ "หลายร้อยเป็นจำนวนที่น่าเป็นห่วง" ฉันคิดว่าคุณอาจต้องสำรองข้อมูลและทบทวนว่าคุณจัดการเรื่องความปลอดภัยทั้งหมดอย่างไรตั้งแต่แรกแทนที่จะพยายามใส่ปูนปลาสเตอร์ที่ติดอยู่กับสิ่งที่คุณมีอยู่ในปัจจุบัน
Maximus Minimus
1
ค่อนข้างเกี่ยวข้อง: serverfault.com/questions/119892 โดยเฉพาะอย่างยิ่งคำตอบนี้: serverfault.com/questions/119892/company-password-management/ …
นาธานฮาร์ทลี่

คำตอบ:

14

ฉันอาจจะเขียนโซลูชันบนเว็บที่กำหนดเองซึ่งโฮสต์อยู่บนอินทราเน็ตขององค์กร (ดูที่http://lastpass.comเพื่อหาแรงบันดาลใจหรือใช้รหัสผ่านการแชร์เป็นหนึ่งในคุณสมบัติของมันแม้ว่ามันอาจจะไม่ได้ผลกับวอลลุ่มของคุณก็ตาม)

แก้ไข : แน่นอนทางออกที่ดีที่สุดอย่าแชร์ การจัดเก็บรหัสผ่านที่ไม่ซับซ้อนในสื่อใด ๆ เป็นสิ่งที่อันตรายโดยเฉพาะอย่างยิ่งเมื่อวัตถุประสงค์ในการจัดเก็บรหัสผ่านนั้นคือการแบ่งปันให้ มีวิธีแก้ปัญหาเกือบจำนวนไม่ จำกัด ซึ่งแต่ละครั้งจะนำภัยที่เกี่ยวข้องมาให้ เหตุใดจึงไม่ใส่ลงในดิสก์อิมเมจเข้ารหัสเบิร์นอิมเมจนั้นลงในซีดีแผ่นเดียววางซีดีไว้ในที่ปลอดภัยที่มีอาวุธติดอาวุธเพียงอันเดียวเท่านั้นที่สามารถเปิดได้

ประเด็นคือเราไม่รู้สถานการณ์ของคุณจริงๆ ทำไมคุณแบ่งปันรหัสผ่านที่สำคัญต่อภารกิจหลายร้อยรายการ พวกเขามีไว้สำหรับอินทราเน็ต BackOffice, VPN หรือพวกเขาเป็นรหัสผ่านลูกค้าที่คุณเก็บไว้ในใจด้วยเหตุผลบางอย่าง? ทุกคนที่คุณต้องการแชร์ด้วยในการติดตั้งเดียวกันหรือไม่? การถ่ายโอนทางกายภาพเช่นซีดีที่เข้ารหัสหรือตารางที่จัดพิมพ์ในที่ปลอดภัยจะใช้งานได้จริงหรือไม่ หรือมีผู้ดูแลระบบของคุณกระจายอยู่ทั่วโลกทำให้การแบ่งปันวิธีการทางอิเล็กทรอนิกส์เป็นทางแก้ปัญหาเดียว

msanford
แหล่งที่มา
50
IMO การสร้างระบบรักษาความปลอดภัย / การเข้ารหัสของคุณเองนั้นแทบจะไม่เคยเป็นแนวทางที่ถูกต้องสำหรับปัญหา
Zoredache
2
@Zoredache นั่นเป็นภาระอึ แม้ว่าฉันคิดว่าโซลูชันบนเว็บสำหรับการโฮสต์รหัสผ่านนั้นโง่ แต่เขาก็ทำเช่นนั้น msanford ก็พูดว่าอินทราเน็ต ยังคงมีความเสี่ยง เหมือนกันสำหรับโซลูชันเครือข่ายอื่น ๆ ทั้งหมด
d -_- b
2
@Zoredache, OP ไม่ได้สร้างระบบเข้ารหัสที่กำหนดเองดูเหมือนว่าทั้งหมดที่เขาต้องการคือฐานข้อมูลที่ปลอดภัย @sims ฉันเห็นว่าไม่มีอะไรผิดปกติกับโซลูชันบนเว็บที่ได้รับการออกแบบมาเป็นอย่างดี คำตอบที่ได้รับการโหวตแนะนำว่า (web-based! = http; web-based = เก็บออนไลน์) เป็นที่ยอมรับเมื่อฉันอ่านคำถามนี้เป็นครั้งที่สองฉันยอมรับว่ารูปแบบพื้นฐานของการแบ่งปันรหัสผ่านจำนวนมากดูเหมือนว่าไม่จำเป็นและจะสามารถแก้ไขปัญหาได้ดีขึ้น แต่ OP ไม่ได้ให้ข้อมูลมากพอสำหรับฉันในการตัดสิน ...
msanford
2
> @Zoredache นั่นเป็นภาระอึ <อืมซิมคุณกำลังบินไปเผชิญหน้ากับคนเข้ารหัสส่วนใหญ่ทันทีที่ออกจากค้างคาว การออกแบบการเข้ารหัสนั้นยากทำให้การเข้ารหัสนั้นคุ้มค่ายิ่งขึ้น schneier.com/essay-037.html บางครั้งความชั่วที่น้อยกว่า - สิ่งที่คุณรู้ - เป็นตัวเลือกที่ดีกว่าเมื่อเผชิญหน้ากับความชั่วที่คุณไม่รู้ (เช่นการออกแบบที่ยังไม่ทดลอง ข้อบกพร่องที่อาจมีช่องโหว่อื่น ๆ )
Avery Payne
1
@Avery - การออกแบบระบบเข้ารหัสนั้นเป็นเรื่องยากและควรจะทิ้งไว้กับผู้เชี่ยวชาญใช่ การใช้เครื่องมือที่ผ่านการทดสอบและทดสอบแล้วเช่น GPG ในไฟล์ข้อความที่ใช้ร่วมกันหรือ Keepass (ซึ่งใช้. NET implementations AES และ SHA-256) ไม่ได้ออกแบบระบบของคุณเอง
mfinni
38

แนวทางปฏิบัติที่ดีที่สุดคือไม่แบ่งปันรหัสผ่าน ใช้เครื่องมือเช่น sudo เพื่อให้ผู้ใช้สามารถเข้าถึงได้จากบัญชีของตนเอง หากคุณมีผู้ใช้ไม่กี่คนแต่ละคนควรมีบัญชีของตนเองในกรณีที่จำเป็น LDAP (Unix / Linux) และ Active Directory เป็นโซลูชันที่ดีสำหรับการอนุญาตการเข้าถึงเซิร์ฟเวอร์หลายเครื่องจากฐานข้อมูลทั่วไป

เมื่อจำเป็นต้องมีสำเนารหัสผ่านเป็นลายลักษณ์อักษรให้ประทับตราในซองที่เซ็นชื่อและลงวันที่บนตราประทับ เปลี่ยนรหัสผ่านเมื่อมีการใช้งาน เมื่อเปลี่ยนรหัสผ่านให้ประทับตราเป็นซองจดหมายใหม่

สำหรับรหัสผ่านที่จำเป็นต้องแชร์จริงๆให้ใช้หนึ่งในเครื่องมือรหัสผ่านเช่น Keepass ซึ่งสามารถมีฐานข้อมูลของพวกเขาในเครือข่าย เครื่องมือที่มีไคลเอนต์สำหรับหลายแพลตฟอร์มจะดีกว่า พิจารณาว่าคุณต้องการฐานข้อมูลมากกว่าหนึ่งฐานข้อมูลหรือไม่ จำไว้ว่าคุณต้องเชื่อใจทุกคนที่สามารถเข้าถึงข้อมูลนี้ได้

BillThor
แหล่งที่มา
+1 สำหรับบัญชีผู้ใช้ที่ไม่มีสิทธิพิเศษสำหรับผู้ดูแลระบบที่มีการเพิ่มระดับสิทธิ์ที่เป็นไปได้บนเซิร์ฟเวอร์ * ระวังฉันจะรวมเข้ากับการใช้การรับรอง dsa / rsa สำหรับ sshd เท่านั้น หากคุณกำลังทำสิ่งต่างๆด้วยเครื่องมือกราฟิกภายใต้ linux คุณสามารถใช้การกำหนดค่าชุดนโยบายที่กำหนดเองได้
Aaron Tate
12
นี้. การเพิกถอนการเข้าถึงสำหรับผู้ใช้เมื่อพวกเขาใช้ข้อมูลประจำตัวที่ใช้ร่วมกันเป็นฝันร้ายที่แน่นอน เมื่อใดก็ตามที่เป็นไปได้มอบสิทธิ์การเข้าถึงผ่านบัญชีเฉพาะของผู้ใช้ มีบางสถานการณ์ที่รหัสผ่านทั่วไปไม่สามารถหลีกเลี่ยงได้ แต่รหัสผ่านที่ใช้ร่วมกัน 'หลายร้อย' ส่งเสียงร้องถึงข้อบกพร่องของการออกแบบที่สำคัญ
Chris Thorpe
4
ฉันเห็นด้วยโดยทั่วไปไม่ได้ใช้รหัสผ่านร่วมกัน แต่มีหลายสถานการณ์ที่จำเป็นเช่นอุปกรณ์เครือข่ายที่มีการเข้าสู่ระบบครั้งเดียวเว็บไซต์ผู้จำหน่ายที่ sysadmins ทั้งหมดใช้การเข้าสู่ระบบเดียวกันสำหรับการสั่งซื้อและผู้ใช้ SQL sa หรือรหัสผ่านผู้ดูแลระบบท้องถิ่น จำเป็น นั่นเป็นเหตุผลที่ฉันคิดว่า KeePass ดีที่สุดสำหรับเรื่องนี้: มันทำงานได้ในหลายแพลตฟอร์มอนุญาตให้มีการรักษาความปลอดภัยที่ดีและจัดการรหัสผ่านหลายร้อยรายการได้อย่างง่ายดาย
Paul Kroon
2
เรามีรูปแบบที่แตกต่างกันซึ่งเราได้จดรหัสผ่านรูทไว้ แต่ถูกล็อคไว้ในที่ปลอดภัยซึ่งมีเพียงทีมงานระบบเท่านั้นที่มีกุญแจเพื่อเปิด รหัสผ่านรูทของเรานั้นมีความยาว 16 ตัวอักษรและสร้างขึ้นในลักษณะที่เป็นไปไม่ได้ที่จะจำถัดไป ใช่มีความไม่ปลอดภัยอยู่ที่นั่น แต่ถ้ามีคนบุกเข้าไปในที่ปลอดภัยฉันสงสัยว่าเรามีปัญหาที่ใหญ่กว่า
Frenchie
2
นี่คือสถานการณ์กรณีการใช้งานจริงสำหรับทีมของเรา: การแชร์รหัสผ่านสำหรับแอปพลิเคชันบนเว็บซึ่งพวกเขาไม่สนับสนุนการลงชื่อเข้าใช้หลายบัญชีสำหรับบัญชีเดียว ดังนั้นหากมีมากกว่าหนึ่งคนในทีมจะต้องสามารถเข้าถึงบัญชีนั้นได้จะต้องมีวิธีการแบ่งปันรหัสผ่านสำหรับบัญชีนั้น
Jordan Reiter
11

เราไปกับKeePassเพื่อจุดประสงค์นี้ มันเป็นโปรแกรมเล็ก ๆ ที่ยอดเยี่ยมที่เก็บรหัสผ่านทั้งหมดของคุณไว้ในไฟล์ฐานข้อมูลที่เข้ารหัส มีคุณสมบัติความปลอดภัยเพิ่มเติมเช่นต้องการไฟล์กุญแจพร้อมกับรหัสผ่านหลักเพื่อเข้าถึงรหัสผ่าน ซึ่งช่วยให้การรักษาความปลอดภัยหลายชั้น (แยกไฟล์คีย์และฐานข้อมูล) ในขณะที่ทำให้ทุกคนสามารถทำงานกับรหัสผ่านที่แตกต่างกันทั้งหมด ตัวอย่างเช่นคุณสามารถเรียกใช้แอปและไฟล์กุญแจนอกไดรฟ์ USB ได้ แต่เก็บฐานข้อมูลไว้ในเครือข่ายของคุณ ซึ่งจะต้องมีข้อมูลรับรองสำหรับการแชร์เครือข่ายรหัสผ่านหลักและไดรฟ์ USB แบบฟิสิคัลพร้อมไฟล์คีย์

Paul Kroon
แหล่งที่มา
KeePass ดูเหมือนจะสนับสนุนหลายแพลตฟอร์มซึ่งเป็นชัยชนะที่ยิ่งใหญ่ในสายตาของฉัน (ฉันทำงานในสภาพแวดล้อมแบบผสมแพลตฟอร์ม) คุณสมบัติ "ประเภทอัตโนมัติ" ก็มีประโยชน์เช่นกัน
Avery Payne
2
แนวคิดโง่ ๆ ที่จะเก็บรหัสผ่านไว้ในเครือข่าย
d -_- b
1
@Sims - แล้วคุณจะแบ่งปันได้อย่างไร KeePass ใช้ไฟล์ที่เข้ารหัสสำหรับร้านค้า มันเป็นไฟล์ข้อความที่เข้ารหัส GPG ที่ใช้งานได้ดีกว่าในเซิร์ฟเวอร์ Unix ที่ทุกคนสามารถเข้าถึงได้
mfinni
1
@Sims - ปกติแล้วฉันจะเห็นด้วยกับคุณ แต่มันจะกลายเป็นสถานการณ์ความปลอดภัยและความสามารถในการผลิต ฉันไม่ต้องการใส่รหัสผ่านรูทของเซิร์ฟเวอร์ในลักษณะนี้ แต่รหัสผ่านผู้ดูแลระบบของสวิตช์เลเยอร์ 2 ที่มีเพียงการเข้าสู่ระบบครั้งเดียวก็เป็นตัวเลือกที่ดีสำหรับเรื่องนี้ มีบางจุดที่ต้องใช้เวลามากขึ้นในการทำสิ่งต่าง ๆ ในแบบที่ปลอดภัยกว่าการล้างข้อมูลหลังจากการละเมิดความปลอดภัย นอกจากนี้คุณยังมีความปลอดภัยของ AD / NTFS ในไฟล์และความสับสนเล็กน้อยด้วยการวางไฟล์ (ซึ่งสามารถตั้งชื่ออะไรก็ได้) ในตำแหน่งสุ่ม
Paul Kroon
ฉันไม่ได้คิดถึงเครื่องที่ใช้ Windows แต่ใช่ถ้าคุณมีผู้ใช้เพียงคนเดียวสำหรับสวิตช์นั้นฉันก็เดาว่ามันจะสมเหตุสมผล มิฉะนั้นอย่างที่ Bill พูดอย่าบอกรหัสผ่านที่ใช้ร่วมกันซึ่งเป็นประเด็นของฉันเกี่ยวกับกุญแจด้วย
d -_- b
5

แนวทางปฏิบัติที่ดีที่สุดในการแบ่งปันรหัสผ่านหลายร้อยรหัสในคนไม่กี่คนคืออะไร

ง่าย ๆ มีสองรสชาติ:

  1. คุณทำไม่ธรรมดาและเรียบง่าย หากคุณเลือกที่จะทำสิ่งนี้คุณเลื่อนการตรวจสอบรหัสผ่านไปยังหน่วยงานภายนอกที่เชื่อถือได้และควบคุมการตรวจสอบความถูกต้องจากที่นั่น

  2. คุณทำ แต่ในการทำเช่นนั้นคุณมีการควบคุมการเข้าถึงภายนอกที่มีรหัสผ่านหรือโทเค็นการรักษาความปลอดภัยที่ไม่ได้บันทึกไว้ในระบบที่คุณใช้ (เช่นบันทึกรหัสผ่านได้รับการป้องกันด้วยรหัสผ่านอื่นที่มีจำนวน จำกัด ) มีปัญหามากมายกับสิ่งนี้

รหัสผ่านเหล่านี้ปกป้องข้อมูลสำคัญของภารกิจและไม่สามารถมองเห็นได้เกินกว่าทีมเล็ก ๆ

คุณควรพิจารณาบริการการตรวจสอบความปลอดภัยอย่างจริงจังที่รวมเข้ากับบริการไดเรกทอรีเพื่อแก้ไขปัญหา ชุดค่าผสม DS / AS สร้าง "สิทธิอำนาจ" ที่เชื่อถือได้ซึ่งสามารถทำหน้าที่เป็นผู้ชี้ขาดสำหรับผู้ใช้และอุปกรณ์ทั้งหมดของคุณ บัญชีผู้ใช้สามารถแยกการเข้าถึงออกจากรหัสผ่านจริงที่ใช้ในการรับรองความถูกต้องทำให้ง่ายในการ "ปลด" รหัสผ่านจากนโยบายการเข้าถึง การควบคุมรหัสผ่านนั้นเป็นการยกเลิกบัญชีผู้ใช้ ดังนั้นหากผู้ดูแลระบบออกจากคุณเพียงแค่ปิดบัญชีของพวกเขาและการเข้าถึงของพวกเขาจะหายไป (เพราะรหัสผ่านของบุคคลนั้นให้สิทธิ์การเข้าถึงโดยขึ้นอยู่กับความถูกต้องของ DS / AS ยืนยันบัญชีที่ถูกต้อง)

นี้จะทำงานเมื่อคุณอยู่ในสภาพแวดล้อมที่ช่วยให้อุปกรณ์ของคุณ / โปรแกรมเพื่อปัดขอตรวจสอบของพวกเขาไปยังแหล่งภายนอกดังนั้นมันอาจจะไม่เป็นทางออกสำหรับคุณ หากคุณมีเปอร์เซ็นต์ของอุปกรณ์ / โปรแกรมที่สามารถรองรับการรับรองความถูกต้องภายนอกได้ฉันก็จะทำเช่นนี้ต่อไปหากเพียงเพื่อรวมรหัสผ่านหลายร้อยรหัสไปยังรายการที่จัดการได้ หากคุณตัดสินใจที่จะไปเส้นทางนี้มีหลายวิธีแก้ปัญหาที่รู้จักกันดีและผ่านการทดสอบอย่างดีกับเรื่องนี้

  • Active Directory อาจเป็นกลุ่มที่รู้จักกันดีที่สุดให้ Kerberos เป็นตัวเลือกการรับรองความถูกต้องและให้ LDAP สำหรับ DS พื้นฐาน
  • แซมบ้า / Winbind คิดว่านี่เป็น "Active Directory Light" คุณไม่ได้รับคุณสมบัติทั้งหมดของ AD แต่เป็นรุ่นเก่าที่ใช้ NT4 (คิดว่าแฮนแมนแฮช) สิ่งนี้จะถูกแทนที่ด้วยการรวม AD ของ Samba 4 และอาจจะ "หายไป"
  • บริการไดเรกทอรีของ Novell ฉันไม่รู้พอที่จะแนะนำ แต่ฉันรู้ว่ามันยังมีอยู่ หน่วยงานของรัฐจำนวนมากยังคงใช้งาน NDS อยู่ดังนั้นหากคุณทำงานใน "ส่วนงาน" นั้นจะเป็นที่สนใจของคุณ เมื่อเร็ว ๆ นี้ Novell ได้ทำการพอร์ต NDS เพื่อให้บริการเป็น Linux แต่ฉันไม่รู้ว่ายังเป็นผลิตภัณฑ์ที่ใช้งานอยู่หรือไม่ (ประมาณปี 2005)
  • LDAP + Kerberos นี่คือพื้น” โฮมโต” ไดเรกทอรีที่ใช้งานอยู่ลบทั้งหมด "คุณสมบัติที่ดี" อย่างไรก็ตามพวกเขายังเป็นที่รู้จักส่วนประกอบที่มีเสถียรภาพรหัสฐานครบดังนั้นการรวมบริการเหล่านี้มักจะขอบเขตของ "การปรับแต่ง" ที่จำเป็นในการทำให้สิ่งต่าง ๆ ทำงาน
  • SSH Keys + (แทรกโปรแกรมการดูแลระบบที่นี่อาจเป็นหุ่นเชิด) มีประโยชน์เฉพาะเมื่อคุณมี SSH ทั่วทั้งกระดานและอุปกรณ์ทั้งหมดจะเข้าถึงได้ในลักษณะนี้ คีย์สามารถส่งและเพิกถอนได้ตามต้องการและรหัสผ่านจะกลายเป็น "ไม่เกี่ยวข้อง" เมื่อคีย์ SSH ให้สิทธิ์การเข้าถึง การใช้ระบบเช่นหุ่นเชิดช่วยให้คุณสามารถอัปเดตเครื่องหลายร้อยเครื่องโดยการออกคำสั่ง en-masse เพื่อเพิ่ม / ยกเลิกคีย์ SSH
  • การรวมกันบางอย่างของข้างต้น

นอกจากนี้ยังมีคำถามว่าคุณต้องการความปลอดภัยมากแค่ไหน คุณไม่ได้ระบุว่าด้วย "ภารกิจวิกฤติ" คุณหมายถึงว่าหัวรบนิวเคลียร์อาจตกลงมาตามเมืองหรือถ้า "ภารกิจสำคัญ" หมายความว่าการส่ง Furbies ครั้งล่าสุดจะไม่ทำให้มันเข้ามาในเมือง มันจะช่วยได้จริงหากมีบางสิ่งที่อธิบายการประเมินความเสี่ยง / ภัยคุกคาม

เอเวอรี่เพน
แหล่งที่มา
2

บางสิ่ง:

  • อย่างที่คนอื่นพูดนี่เป็นความคิดที่ไม่ดี ใช้ LDAP และอื่น ๆ
  • หากคุณมุ่งมั่นที่จะทำสิ่งนี้ด้วยเหตุผลใดก็ตามอย่างน้อยก็รวมรหัสผ่าน 100 รหัสผ่านที่ไม่มีการจัดการหมายความว่าคุณไม่ได้อัปเดตรหัสผ่าน
  • เก็บไว้ในกระดาษ กำหนดให้เจ้าหน้าที่ลงนามในกระดาษด้วยหมึกสีอื่นเพื่อให้ง่ายต่อการตรวจสอบว่ามีการทำสำเนาแผ่นงานหรือไม่
  • หากคุณใช้ระบบปฏิบัติการ Unix ให้ใช้ S / KEY เพื่อสร้างรหัสผ่านครั้งเดียว เก็บที่ที่ปลอดภัย

นอกจากนี้คุณยังต้องไปไกลกว่ามาตรการรักษาความปลอดภัยทางกลไกของการใส่รหัสผ่านกระดาษในที่ปลอดภัยหรือเข้ารหัสรหัสผ่าน อ่านเพิ่มเติมเกี่ยวกับวิธีการที่องค์กรที่มีรูปแบบการรักษาความปลอดภัยที่เป็นผู้ใหญ่คีย์ความปลอดภัยและการผสมผสานที่ปลอดภัย ฉันไม่แนะนำให้ทำสิ่งที่คุณต้องการทำ แต่ถ้าคุณทำ:

  • ผู้ที่จะใช้รหัสผ่านไม่สามารถควบคุมการเข้าถึงรหัสผ่านได้ กลุ่มคนที่แตกต่างกันภายใต้ห่วงโซ่การจัดการที่แตกต่างกันจำเป็นต้องควบคุมการเข้าถึงที่ปลอดภัยลิ้นชัก ฯลฯ หากคุณมีกลุ่มการเงินพวกเขาอาจเป็นผู้สมัคร อาจเป็นรองประธานฝ่ายการตลาด ฯลฯ
  • จะต้องมีบันทึกเป็นลายลักษณ์อักษรเมื่อเปิดเซฟและมีคนครอบครองรหัสผ่าน
  • รหัสผ่านจะต้องเปลี่ยนภายใน 24 ชั่วโมงหลังจากที่เช็คเอาต์

ขั้นตอนเช่นนี้เป็นความเจ็บปวดที่คอ แต่จะทำหน้าที่เป็นแรงจูงใจให้ผู้คนหันมาใช้วิธีปฏิบัติที่มีสติมากขึ้น หากคุณไม่ทำสิ่งที่ฉันอธิบายอย่ากังวลไปกับการล็อครหัสผ่านเพราะคุณจะได้รับการละเมิดสักวันหนึ่ง

duffbeer703
แหล่งที่มา
2

ฉันรู้ว่านี่เป็นคำถามเก่า แต่เมื่อเร็ว ๆ นี้ฉันเพิ่งพบโซลูชันบนเว็บ opensource ที่เรียกว่าCorporate Vaultซึ่งอาจน่าสนใจสำหรับบางคน ฉันยังไม่มีโอกาสลองดู

3dinfluence
แหล่งที่มา
1

เราจะใช้โปรแกรมที่เรียกว่ารหัสผ่านที่ปลอดภัย มันดีและปลอดภัยมากคุณสามารถตั้งค่าฐานข้อมูลบนไดรฟ์เครือข่ายและให้ทุกคนที่ต้องการมันเข้าถึงและรหัสผ่านเพื่อความปลอดภัยของตัวเองซึ่งจากนั้นจะจัดเก็บชื่อผู้ใช้และรหัสผ่านทั้งหมดที่เข้ารหัสไว้อย่างปลอดภัย

user44650
แหล่งที่มา
1

https://pypi.python.org/pypi/django-pstore/ใช้การเข้ารหัส GPG ต่อผู้ใช้สำหรับรหัสผ่านที่ใช้ร่วมกัน (และข้อมูลอื่น ๆ ที่คุณอาจต้องการแบ่งปัน) เซิร์ฟเวอร์ไม่เคยรู้เกี่ยวกับรหัสผ่านใด ๆ แต่จะเก็บข้อมูลที่เข้ารหัสไว้เท่านั้น ทุกคนใช้คีย์ส่วนตัวเพื่อถอดรหัสลับที่แบ่งปัน

ระบบนี้รวมถึงการจัดการสิทธิ์: ไม่ใช่ทุกคนที่สามารถเข้าถึงได้อย่างเต็มที่

wdoekes
แหล่งที่มา
1

เราใช้https://passwork.meเป็นโซลูชันที่โฮสต์โดยตนเอง แต่คุณสามารถเก็บรหัสผ่านไว้ในคลาวด์ได้เช่นกัน

Iliya Garakh
แหล่งที่มา
มันเป็นผลิตภัณฑ์ของคุณ Iliya แต่มันดูดี
Foliovision
0

SPB Wallet เป็นเครื่องที่ดีที่เราใช้ในการใช้ PW อย่างปลอดภัยโดยผี แต่ SPB Wallet ช่วยให้คุณซิงค์กับเครือข่ายแชร์และซิงค์กับ iphone ของคุณหากคุณได้รับแอป นอกจากนี้ยังมีเครื่องกำเนิดรหัสผ่านในตัวและคุณสามารถสร้างได้จากรหัสผ่านง่ายไปจนถึงรหัสผ่านที่ซับซ้อนมาก นอกจากนี้คุณยังสามารถคัดลอกรหัสผ่านในขณะที่รหัสผ่านยังคงเป็นเครื่องหมายดอกจันดังนั้นหากใครบางคนกำลังมองหาคุณสามารถคัดลอกและวางโดยไม่ต้องมีใครเห็นรหัสผ่าน แอพ PC ล็อคอัตโนมัติเมื่อไม่มีกิจกรรมตามช่วงเวลาที่กำหนด

JohnyV
แหล่งที่มา
0

อีกทางเลือกหนึ่งคือAzure Key Vaultที่เก็บความลับของคุณอย่างปลอดภัยและอนุญาตให้คุณอนุญาตการเข้าถึงโดยทางโปรแกรมหมุนรหัสผ่านของคุณได้อย่างง่ายดาย ฯลฯ ไม่มี UI ที่ดีสำหรับมัน แต่ถ้าคุณใช้การเข้าถึงบรรทัดคำสั่งได้

Rory
แหล่งที่มา
0

แนวทางปฏิบัติที่ดีที่สุดของเราคือแบ่งปันรหัสผ่านให้น้อยที่สุดเท่าที่จะทำได้

ดังนั้นเราจึงยกตัวอย่างเช่น: - ใช้ my.cnf ใน root home dir สำหรับรหัสผ่านไปยังฐานข้อมูล - ใช้คีย์ ssh เพื่อเข้าสู่เซิร์ฟเวอร์และมีรหัสผ่านรูทเดียวที่อนุญาตผ่านทางคอนโซลเท่านั้น (ดังนั้นคุณต้องมีการเข้าถึงแบบฟิสิคัล / bmc ) - ใช้ ldap ทุกที่ที่เป็นไปได้ (ssh, bmc, สวิตช์, redmine, .... )

อย่างไรก็ตามมีบางสถานการณ์ที่เราไม่สามารถใช้วิธีนี้ได้ (เช่นรหัสผ่านรูท) จากนั้นเราใช้Keepassบนที่เก็บข้อมูลที่ใช้ร่วมกันของเรา แต่เราเก็บรหัสผ่านเพียง 10 รหัสที่ต้องการ

Yarik Dot
แหล่งที่มา
-1

คำถามที่ดีมาก ฉันสนใจคำตอบอื่น

นี่คือสิ่งที่ฉันทำ แต่ก่อนอื่นฉันขอแนะนำให้ใช้คีย์ที่แบ่งปันล่วงหน้าหากเป็นไปได้ ฉันไม่รู้ว่านี่เป็นไปได้กับระบบ Windows หรือไม่

เนื่องจากจำนวนรหัสผ่านควรมีขนาดเล็ก (คุณกำลังใช้กุญแจหากเป็นไปได้) ฉันจึงใช้ไฟล์ข้อความธรรมดาที่เข้ารหัสด้วย gpg ในระบบที่ไม่มี NIC ดังนั้น (1) คุณต้องมีการเข้าถึงทางกายภาพและ (2) รหัสผ่าน

แก้ไขเพื่อความชัดเจน

d -_- ข
แหล่งที่มา
คีย์? เช่นเดียวกับ USB Keys? ปุ่มทางกายภาพที่เปิดล็อค? คีย์สมาร์ทการ์ด กุญแจ GPG? คีย์รหัสผ่านที่มีอยู่ในห้องน้ำในหัวของคุณเท่านั้นหรือ การรวมกันของข้างต้น?
Avery Payne
กุญแจรถ! JK เพื่อความกระจ่างฉันหมายถึงปุ่ม ssh นี่คือเหตุผลที่ฉันบอกว่าอาจไม่สามารถใช้คีย์ที่แบ่งใช้ล่วงหน้ากับ windows ได้
d -_- b
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.