Verwenden Sie für jedes Gerät dasselbe Root-Passwort?

Question 1

Ich würde gerne sagen "ja, überall", aber in manchen Fällen ist es immer noch "nein". Meine Firma verwendet Passwort-Safeum die Passwörter unserer Kunden zu verwalten und für jeden Kunden einen „Safe“ zu erstellen. Viele Kunden haben einzigartige, zufällig zugewiesene Passwörter für Root, lokalen Administrator, Geräte usw. Leider verwenden manche (entweder aufgrund der Arbeit früherer Anbieter oder aufgrund unserer Nachlässigkeit) dasselbe Passwort für mehrere Geräte oder mehrere Servercomputer.

Für meine persönlichen Passwörter bin ich daran interessiert, auf ein Dienstprogramm wie umzusteigenPasswortgenerator, das aus einer „Master-Passphrase“ und einigen anderen Fakten (Website-Name, Benutzername usw.) ein zufälliges Passwort aus einer sicheren Hash-Funktion erstellt. Solange Sie Ihr „Master-Passwort“ und die „anderen Fakten“ kennen, können Sie die Software verwenden, um Ihr Passwort jedes Mal neu zu generieren, wenn Sie es brauchen (d. h. das Passwort wird nie irgendwo gespeichert, weder verschlüsselt, noch im Klartext oder auf andere Weise).

Ich habe noch kein Tool zum „Speichern“ von Firmenpasswörtern gefunden, das alles kann, was ich will:

SSL-basierter Zugriff über Browser als Benutzeroberfläche
LDAP-Authentifizierung, Berechtigungen für den Zugriff auf Passwörter in der Datenbank basierend auf der LDAP-Gruppenmitgliedschaft.
Führt ein Prüfprotokoll der Passwörter, auf die jeder Benutzer zugreift (damit ich weiß, was ich ändern muss, wenn jemand das Unternehmen verlässt).
Konfigurierbare Benachrichtigungen für den Ablauf von Passwörtern basierend auf dem Benutzer (z. B. „Lass alle Passwörter ablaufen, die ‚Bob‘ jemals verwendet hat, seit wir ihn gefeuert haben“), basierend auf dem Datum, an dem das Passwort zuletzt festgelegt wurde, oder basierend auf der Anzahl eindeutiger Benutzer, die auf das Passwort zugegriffen haben („Der gesamte Helpdesk, die IT-Abteilung und das Reinigungspersonal haben auf dieses Passwort zugegriffen – lass es ablaufen.“)
Metadaten zu jedem Passwort, einschließlich der Partei, die im Falle des Ablaufs per E-Mail benachrichtigt werden soll, Erstellungsdatum, Datum der letzten Änderung, Hinweise.
Optionales Plug-In-System, das es dem Kennwortsystem ermöglicht, sich mit Systemen zu verbinden und abgelaufene Kennwörter automatisch zu aktualisieren.
Läuft idealerweise auf einem Windows- oder Linux-basierten Webserver, wahrscheinlich mit SQLite als Back-End.

Ich wäre bereit, Geld oder Entwicklungszeit in ein solches Projekt zu investieren, aber ich habe nie etwas gefunden, das auch nur annähernd heranreicht, und ich wollte auch nicht die Zeit aufwenden, es auf die Beine zu stellen.

Answer

Ich würde gerne sagen "ja, überall", aber in manchen Fällen ist es immer noch "nein". Meine Firma verwendet Passwort-Safeum die Passwörter unserer Kunden zu verwalten und für jeden Kunden einen „Safe“ zu erstellen. Viele Kunden haben einzigartige, zufällig zugewiesene Passwörter für Root, lokalen Administrator, Geräte usw. Leider verwenden manche (entweder aufgrund der Arbeit früherer Anbieter oder aufgrund unserer Nachlässigkeit) dasselbe Passwort für mehrere Geräte oder mehrere Servercomputer.

Für meine persönlichen Passwörter bin ich daran interessiert, auf ein Dienstprogramm wie umzusteigenPasswortgenerator, das aus einer „Master-Passphrase“ und einigen anderen Fakten (Website-Name, Benutzername usw.) ein zufälliges Passwort aus einer sicheren Hash-Funktion erstellt. Solange Sie Ihr „Master-Passwort“ und die „anderen Fakten“ kennen, können Sie die Software verwenden, um Ihr Passwort jedes Mal neu zu generieren, wenn Sie es brauchen (d. h. das Passwort wird nie irgendwo gespeichert, weder verschlüsselt, noch im Klartext oder auf andere Weise).

Ich habe noch kein Tool zum „Speichern“ von Firmenpasswörtern gefunden, das alles kann, was ich will:

SSL-basierter Zugriff über Browser als Benutzeroberfläche
LDAP-Authentifizierung, Berechtigungen für den Zugriff auf Passwörter in der Datenbank basierend auf der LDAP-Gruppenmitgliedschaft.
Führt ein Prüfprotokoll der Passwörter, auf die jeder Benutzer zugreift (damit ich weiß, was ich ändern muss, wenn jemand das Unternehmen verlässt).
Konfigurierbare Benachrichtigungen für den Ablauf von Passwörtern basierend auf dem Benutzer (z. B. „Lass alle Passwörter ablaufen, die ‚Bob‘ jemals verwendet hat, seit wir ihn gefeuert haben“), basierend auf dem Datum, an dem das Passwort zuletzt festgelegt wurde, oder basierend auf der Anzahl eindeutiger Benutzer, die auf das Passwort zugegriffen haben („Der gesamte Helpdesk, die IT-Abteilung und das Reinigungspersonal haben auf dieses Passwort zugegriffen – lass es ablaufen.“)
Metadaten zu jedem Passwort, einschließlich der Partei, die im Falle des Ablaufs per E-Mail benachrichtigt werden soll, Erstellungsdatum, Datum der letzten Änderung, Hinweise.
Optionales Plug-In-System, das es dem Kennwortsystem ermöglicht, sich mit Systemen zu verbinden und abgelaufene Kennwörter automatisch zu aktualisieren.
Läuft idealerweise auf einem Windows- oder Linux-basierten Webserver, wahrscheinlich mit SQLite als Back-End.

Ich wäre bereit, Geld oder Entwicklungszeit in ein solches Projekt zu investieren, aber ich habe nie etwas gefunden, das auch nur annähernd heranreicht, und ich wollte auch nicht die Zeit aufwenden, es auf die Beine zu stellen.

Question 2

Ich verwende SSH-Schlüssel, verwende denselben für alle Server und speichere ein gutes Passwort für meine Schlüsseldatei. Das erspart viel Ärger.

Für Geräte, bei denen dies nicht funktioniert, würde ich ein Passwort mit einem schwer zu erratenden Kern verwenden und dann den DNS-Namen, die IP-Adresse oder andere gemeinsame Merkmale (wie Betriebssystem oder Marke) des Geräts verwenden, um das Passwort für das Gerät eindeutig zu machen. Dies funktionierte besonders gut für Gruppen ähnlicher Geräte. Halten Sie einfach das Muster/die mnemonische Abkürzung zusammen mit dem Kern geheim, und Sie haben ein schwieriges, eindeutiges Passwort, das leicht zu merken ist.

Answer

Ich verwende SSH-Schlüssel, verwende denselben für alle Server und speichere ein gutes Passwort für meine Schlüsseldatei. Das erspart viel Ärger.

Für Geräte, bei denen dies nicht funktioniert, würde ich ein Passwort mit einem schwer zu erratenden Kern verwenden und dann den DNS-Namen, die IP-Adresse oder andere gemeinsame Merkmale (wie Betriebssystem oder Marke) des Geräts verwenden, um das Passwort für das Gerät eindeutig zu machen. Dies funktionierte besonders gut für Gruppen ähnlicher Geräte. Halten Sie einfach das Muster/die mnemonische Abkürzung zusammen mit dem Kern geheim, und Sie haben ein schwieriges, eindeutiges Passwort, das leicht zu merken ist.

Question 3

für jeden Rechner ein anderes Passwort, aber wir bewahren sie alle in einem Passwortsafe auf. Es ist zwar mühsam, das nachzuschlagen, verhindert aber, dass wir durch einen Verstoß zum PWD gezwungen werden.

Answer

für jeden Rechner ein anderes Passwort, aber wir bewahren sie alle in einem Passwortsafe auf. Es ist zwar mühsam, das nachzuschlagen, verhindert aber, dass wir durch einen Verstoß zum PWD gezwungen werden.

Question 4

Das in der Organisation, in der ich gearbeitet habe, verwendete:

Die Passwörter für den Desktop-/lokalen PC-Administrator sind immer gleich (aber da wir alle unsere Maschinen ghosten, ist das die einzige Möglichkeit, und wenn jemand das Passwort herausfindet, können wir immer noch unser anfängliches Ghost-Image ändern und alle Maschinen aktualisieren, um das neue Image zu erhalten, und dann ist alles in Ordnung).

Jeder Server hat ein anderes Passwort. Andererseits haben wir es nicht mit zu vielen Servern zu tun. Wenn ich mich richtig erinnere, hatte ich Zugriff auf ungefähr 6 (aber ich bin sicher, wir hatten mehr), und anstatt übermäßig komplexe Passwörter zu erstellen, haben sie sich für einfache, leicht zu merkende Passwörter entschieden, ihnen ein vernünftiges |eet5peak hinzugefügt und sie wirklich sehr lang gemacht (aber wiederum leicht zu merken) :)

Ich persönlich bin der Meinung, dass bei Desktop-PCs das Root-/Administratorkennwort gleich bleiben sollte, um eine einfache Verwaltung über das lokale Administratorkonto sicherzustellen.

Bei Servern ist es am besten, anders vorzugehen, um sicherzustellen, dass ein Verstoß nur auf diesen Server beschränkt bleibt und nicht weiter geht. Auch die Komplexität des Passworts ändert sich je nach Wichtigkeit des Servers (d. h. der Server, der Benutzer/Passwörter speichert, hat die höchste Komplexität, der Server, der Protokolle speichert, hat eine geringere Komplexität usw.).

Mein 5c

Answer

Das in der Organisation, in der ich gearbeitet habe, verwendete:

Die Passwörter für den Desktop-/lokalen PC-Administrator sind immer gleich (aber da wir alle unsere Maschinen ghosten, ist das die einzige Möglichkeit, und wenn jemand das Passwort herausfindet, können wir immer noch unser anfängliches Ghost-Image ändern und alle Maschinen aktualisieren, um das neue Image zu erhalten, und dann ist alles in Ordnung).

Jeder Server hat ein anderes Passwort. Andererseits haben wir es nicht mit zu vielen Servern zu tun. Wenn ich mich richtig erinnere, hatte ich Zugriff auf ungefähr 6 (aber ich bin sicher, wir hatten mehr), und anstatt übermäßig komplexe Passwörter zu erstellen, haben sie sich für einfache, leicht zu merkende Passwörter entschieden, ihnen ein vernünftiges |eet5peak hinzugefügt und sie wirklich sehr lang gemacht (aber wiederum leicht zu merken) :)

Ich persönlich bin der Meinung, dass bei Desktop-PCs das Root-/Administratorkennwort gleich bleiben sollte, um eine einfache Verwaltung über das lokale Administratorkonto sicherzustellen.

Bei Servern ist es am besten, anders vorzugehen, um sicherzustellen, dass ein Verstoß nur auf diesen Server beschränkt bleibt und nicht weiter geht. Auch die Komplexität des Passworts ändert sich je nach Wichtigkeit des Servers (d. h. der Server, der Benutzer/Passwörter speichert, hat die höchste Komplexität, der Server, der Protokolle speichert, hat eine geringere Komplexität usw.).

Mein 5c

Verwenden Sie für jedes Gerät dasselbe Root-Passwort?

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen