システム管理者のチームはどのようにしてパスワードを安全に共有するのでしょうか?

システム管理者のチームはどのようにしてパスワードを安全に共有するのでしょうか?

数百のパスワードを数人で共有する場合のベストプラクティスは何ですか? これらのパスワードはミッションクリティカルなデータを保護し、小規模なチーム以外には公開されません。

答え1

おそらく、企業のイントラネットでホストされるカスタムWebベースのソリューションを作成するでしょう。(http://lastpass.comインスピレーションを得たり、使用したりするために使用できます。パスワードの共有はその機能の 1 つですが、ボリュームでは機能しない可能性があります。

編集: 確かに、最善の解決策は、パスワードを共有しないことです。平文のパスワードをどのような媒体に保存しても危険です。特に共有することが目的の場合は危険です。解決策はほぼ無限にあり、それぞれが危険を伴います。パスワードを暗号化したディスク イメージに保存し、そのイメージを 1 枚の CD に書き込み、その CD を武装警備員 1 人だけが開けられる金庫に入れて、許可された人が写真付き身分証明書を提示してロックを解除するのはどうでしょうか。

重要なのは、私たちがあなたのシナリオを本当に知らないということです。なぜ何百ものミッションクリティカルなパスワードを共有しているのでしょうか?バックオフィスのイントラネットやVPN用でしょうか、それとも何らかの理由で平文で保管している顧客パスワードでしょうか?パスワードを共有する必要がある人は全員同じインストール環境内ですか?暗号化されたCDや金庫に保管された印刷された表のような物理的な転送は実際に機能しますか?それとも、システム管理者が世界中に散らばっていて、電子的な方法で共有するのが難しいのでしょうか?のみ解決?

答え2

ベストプラクティスは、パスワードを共有しないことです。sudo などのツールを使用して、ユーザーが自分のアカウントから必要なアクセスを取得できるようにします。ユーザーが少数いる場合は、必要に応じて各自のアカウントを持つ必要があります。LDAP (Unix/Linux) と Active Directory は、共通データベースから複数のサーバーへのアクセスを許可するのに適したソリューションです。

パスワードの書面のコピーが必要な場合は、封筒に入れて封印し、封印に署名と日付を記入してください。パスワードを使用するときは変更してください。パスワードを変更した場合は、新しい封筒に入れて封印してください。

本当に共有する必要があるパスワードの場合は、ネットワーク上にデータベースを持つことができる Keepass などのパスワード ツールのいずれかを使用します。複数のプラットフォーム用のクライアントを備えたツールの方が適しています。複数のデータベースが必要かどうかを検討してください。このデータにアクセスできるすべての人を本当に信頼する必要があることを忘れないでください。

答え3

私たちはキーパスまさにこの目的のために。これは、すべてのパスワードを暗号化されたデータベース ファイルに保存する優れた小さなプログラムです。パスワードにアクセスするには、メイン パスワードに加えてキー ファイルが必要になるなど、追加のセキュリティ機能があります。これにより、複数のセキュリティ レイヤー (キー ファイルとデータベースを分離) が可能になり、すべての異なるパスワードを誰もが簡単に操作できるようになります。たとえば、USB ドライブからアプリとキー ファイルを実行し、データベースをネットワーク上のどこかに保存することができます。その場合、ネットワーク共有、メイン パスワード、およびキー ファイルを含む物理 USB ドライブの資格情報が必要になります。

答え4

いくつかの点:

  • 他の人が言っているように、これは悪い考えです。LDAPなどを使用してください。
  • 何らかの理由でこれを実行することに決めた場合は、少なくともパスワードを統合してください。管理されていないパスワードが 100 個あるということは、パスワードを更新していないことを意味します。
  • 紙に保管してください。シートがコピーされたかどうかを簡単に判断できるように、スタッフに異なる色のインクで紙に署名するよう要求してください。
  • Unix を使用している場合は、S/KEY を使用してワンタイム パスワードを生成します。それを安全な場所に保管します。

また、紙のパスワードを金庫に入れたり、パスワードを暗号化したりする機械的なセキュリティ対策を超える必要があります。成熟したセキュリティ モデルを持つ組織がキーと金庫の組み合わせをどのように保護しているかを調べてください。やりたいことをやるのはお勧めしませんが、もしやるなら、次のことを行ってください。

  • パスワードを使用する人は、パスワードへのアクセスを制御できません。異なる管理チェーンに属する別のグループが、金庫や引き出しなどへのアクセスを制御する必要があります。財務グループがある場合は、そのグループが候補になるかもしれません。マーケティング担当副社長などでもよいかもしれません。
  • 金庫が開けられ、誰かがパスワードを入手したときには、記録を残す必要があります。
  • チェックアウト後 24 時間以内にパスワードを変更する必要があります。

このような手順は面倒ですが、人々がより健全な慣行を採用する動機付けになります。私が説明したようなことを行わない場合は、パスワードをロックする手順を踏む必要はありません。いずれにしても、いつかは侵入されることになります。

関連情報