すべてのデバイスに同じルートパスワードを使用していますか?

Question 1

「どこでも」と言いたいところですが、それでも「いいえ」という場合もあります。私の会社ではパスワードセーフお客様のパスワードを管理し、お客様ごとに「金庫」を作成します。多くのお客様は、ルート、ローカル管理者、デバイスなどにランダムに割り当てられた固有のパスワードを持っています。残念ながら、一部のお客様は (以前のベンダーによる作業のため、または当社の怠慢のため)、複数のデバイスまたは複数のサーバーコンピューターで同じパスワードを使用している可能性があります。

個人的なパスワードについては、次のようなユーティリティに移行することに興味があります。パスワードメーカーは、「マスターパスフレーズ」とその他の情報 (Web サイト名、ユーザー名など) を受け取り、安全なハッシュ関数からランダムなパスワードを作成します。「マスターパスワード」と「その他の情報」がわかっていれば、必要なときにいつでもソフトウェアを使用してパスワードを再生成できます (つまり、パスワードは暗号化、プレーンテキスト、またはその他の方法でどこにも保存されません)。

私が望むことをすべて実行できる企業パスワード「保管」ツールをまだ見つけていません。

UIとしてのブラウザからのSSLベースのアクセス
LDAP 認証、LDAP グループメンバーシップに基づいてデータベース内のパスワードにアクセスするための権限。
各ユーザーがアクセスしたパスワードの監査証跡を維持します (誰かが会社を辞めたときに何を変更すればよいかがわかるようにするため)。
ユーザーに基づくパスワード有効期限の通知 (例: 「ボブを解雇したので、ボブが使用したすべてのパスワードを期限切れにする」)、パスワードの最終設定日に基づく通知、またはパスワードにアクセスした一意のユーザー数に基づく通知 (「ヘルプデスク、IT 部門、清掃スタッフ全員がこのパスワードにアクセスしました。期限切れにしてください」)
有効期限切れ時に電子メールで通知する相手、作成日、最終変更日、メモなど、各パスワードのメタデータ。
パスワードシステム自体がシステムに接続し、期限切れのパスワードを自動的に更新できるようにするオプションのプラグインシステム。
理想的には、バックエンドとして sqlite を使用して、Windows または Linux ベースの Web サーバー上で実行されます。

私はそのようなプロジェクトにお金や開発時間を投じることは喜んでしますが、それに近いものを見つけたことがなく、それを立ち上げるために時間を費やしたいと思ったこともありません。

Answer

「どこでも」と言いたいところですが、それでも「いいえ」という場合もあります。私の会社ではパスワードセーフお客様のパスワードを管理し、お客様ごとに「金庫」を作成します。多くのお客様は、ルート、ローカル管理者、デバイスなどにランダムに割り当てられた固有のパスワードを持っています。残念ながら、一部のお客様は (以前のベンダーによる作業のため、または当社の怠慢のため)、複数のデバイスまたは複数のサーバーコンピューターで同じパスワードを使用している可能性があります。

個人的なパスワードについては、次のようなユーティリティに移行することに興味があります。パスワードメーカーは、「マスターパスフレーズ」とその他の情報 (Web サイト名、ユーザー名など) を受け取り、安全なハッシュ関数からランダムなパスワードを作成します。「マスターパスワード」と「その他の情報」がわかっていれば、必要なときにいつでもソフトウェアを使用してパスワードを再生成できます (つまり、パスワードは暗号化、プレーンテキスト、またはその他の方法でどこにも保存されません)。

私が望むことをすべて実行できる企業パスワード「保管」ツールをまだ見つけていません。

UIとしてのブラウザからのSSLベースのアクセス
LDAP 認証、LDAP グループメンバーシップに基づいてデータベース内のパスワードにアクセスするための権限。
各ユーザーがアクセスしたパスワードの監査証跡を維持します (誰かが会社を辞めたときに何を変更すればよいかがわかるようにするため)。
ユーザーに基づくパスワード有効期限の通知 (例: 「ボブを解雇したので、ボブが使用したすべてのパスワードを期限切れにする」)、パスワードの最終設定日に基づく通知、またはパスワードにアクセスした一意のユーザー数に基づく通知 (「ヘルプデスク、IT 部門、清掃スタッフ全員がこのパスワードにアクセスしました。期限切れにしてください」)
有効期限切れ時に電子メールで通知する相手、作成日、最終変更日、メモなど、各パスワードのメタデータ。
パスワードシステム自体がシステムに接続し、期限切れのパスワードを自動的に更新できるようにするオプションのプラグインシステム。
理想的には、バックエンドとして sqlite を使用して、Windows または Linux ベースの Web サーバー上で実行されます。

私はそのようなプロジェクトにお金や開発時間を投じることは喜んでしますが、それに近いものを見つけたことがなく、それを立ち上げるために時間を費やしたいと思ったこともありません。

Question 2

私は SSH キーを使用し、すべてのサーバーに同じキーを使用し、キーファイルに適切なパスワードを維持しています。これにより、多くの煩わしさが軽減されます。

これが機能しないデバイスの場合は、推測しにくいコアを持つパスワードを使用し、デバイスの DNS 名、IP、またはその他の一般的な特性 (OS やブランドなど) を使用して、デバイス固有のパスワードを作成します。これは、類似したデバイスのグループに対して特に有効です。コアとともにパターン/ニーモニックを秘密にしておくだけで、覚えやすい、難しい固有のパスワードになります。

Answer

私は SSH キーを使用し、すべてのサーバーに同じキーを使用し、キーファイルに適切なパスワードを維持しています。これにより、多くの煩わしさが軽減されます。

これが機能しないデバイスの場合は、推測しにくいコアを持つパスワードを使用し、デバイスの DNS 名、IP、またはその他の一般的な特性 (OS やブランドなど) を使用して、デバイス固有のパスワードを作成します。これは、類似したデバイスのグループに対して特に有効です。コアとともにパターン/ニーモニックを秘密にしておくだけで、覚えやすい、難しい固有のパスワードになります。

Question 3

マシンごとに異なるパスワードを使用していますが、それらはすべて pwsafe に保存されています。検索するのは面倒ですが、1 回の侵害でパスワードが盗まれるのを防ぐことができます。

Answer

マシンごとに異なるパスワードを使用していますが、それらはすべて pwsafe に保存されています。検索するのは面倒ですが、1 回の侵害でパスワードが盗まれるのを防ぐことができます。

Question 4

私が働いていた組織で使用されていたもの:

デスクトップ/ローカル PC の管理者パスワードはすべて同じです (ただし、すべてのマシンをゴースト化しているため、これが唯一の方法です。誰かがそのパスワードを見つけた場合でも、初期のゴーストイメージを変更し、すべてのマシンを更新して新しいイメージを受け取ることができるため、問題ありません)。

各サーバーには異なるパスワードがあります。とはいえ、私たちが扱っているサーバーはそれほど多くありません。正確に覚えている限り、私がアクセスできたのは 6 台くらいです (もっとあったはずですが)。また、過度に複雑なパスワードを作成する代わりに、シンプルで覚えやすいパスワードを選択し、それに適切な |eet5peak を追加して、非常に長いパスワード (ただし、覚えやすいもの) にしました :)

個人的には、デスクトップ PC の場合、ローカル管理者アカウントを使用して簡単に管理できるように、ルート / 管理者パスワードを同じにしておくことをお勧めします。

サーバーの場合は、侵入があった場合にそのサーバーのみに封じ込められ、それ以上広がらないようにするために、異なるパスワードを使用するのが最善です。また、パスワードの複雑さはサーバーの重要度に応じて変わります (つまり、ユーザー/パスワードを保持するサーバーは最も複雑になり、ログを保持するサーバーはより複雑ではなくなります)。

私の5セント

Answer