Was sind die besten Vorgehensweisen, wenn Hunderte von Passwörtern an wenige Personen weitergegeben werden? Diese Passwörter schützen unternehmenskritische Daten und können nur von einem kleinen Team eingesehen werden.
Antwort1
Ich würde wahrscheinlich eine benutzerdefinierte webbasierte Lösung schreiben, die in einem Firmenintranet gehostet wird. (Schauen Sie sich an unterhttp://lastpass.comzur Inspiration oder um es zu verwenden. Das Teilen von Passwörtern ist eine seiner Funktionen, obwohl es für Ihr Volume möglicherweise nicht funktioniert.)
BEARBEITEN: Sicher, die beste Lösung ist, sie nicht weiterzugeben. Das Speichern von Passwörtern im Klartext auf jedem Medium ist gefährlich, insbesondere wenn der Zweck der Speicherung darin besteht, sie weiterzugeben. Es gibt nahezu unendlich viele Lösungen, und jede davon birgt ein Risiko. Warum speichern Sie sie nicht auf einem verschlüsselten Disk-Image, brennen dieses Image auf eine einzelne CD, legen die CD in einen Safe, den nur ein bewaffneter Wachmann öffnen kann, und lassen autorisierte Personen mit Lichtbildausweis den Safe öffnen?
Der Punkt ist, dass wir Ihr Szenario nicht wirklich kennen. Warum geben Sie Hunderte von unternehmenskritischen Passwörtern weiter? Sind sie für Ihr Backoffice-Intranet, VPN oder sind es Kundenpasswörter, die Sie aus irgendeinem Grund im Klartext aufbewahren? Befinden sich alle Personen, mit denen Sie sie teilen müssen, in derselben Installation? Würde eine physische Übertragung wie eine verschlüsselte CD oder eine gedruckte Tabelle, die in einem Safe aufbewahrt wird, tatsächlich funktionieren? Oder sind Ihre Systemadministratoren über den ganzen Globus verteilt, sodass elektronische Mittel zum Teilen der Passwörter dienurLösung?
Antwort2
Die beste Vorgehensweise besteht darin, Passwörter nicht weiterzugeben. Verwenden Sie Tools wie sudo, um den Benutzern den erforderlichen Zugriff über ihr eigenes Konto zu ermöglichen. Wenn Sie mehrere Benutzer haben, sollte jeder bei Bedarf über ein eigenes Konto verfügen. LDAP (Unix/Linux) und Active Directory sind eine gute Lösung, um mehreren Servern über eine gemeinsame Datenbank Zugriff zu gewähren.
Wenn Sie eine schriftliche Kopie eines Passworts benötigen, versiegeln Sie es in einem Umschlag, der quer über dem Siegel unterschrieben und datiert ist. Ändern Sie das Passwort, wenn es verwendet wird. Wenn das Passwort geändert wird, versiegeln Sie es in einem neuen Umschlag.
Verwenden Sie für Passwörter, die wirklich weitergegeben werden müssen, eines der Passwort-Tools wie Keepass, deren Datenbank in einem Netzwerk gespeichert werden kann. Tools mit Clients für mehrere Plattformen sind besser. Überlegen Sie, ob Sie mehr als eine Datenbank benötigen. Denken Sie daran, dass Sie wirklich jedem vertrauen müssen, der Zugriff auf diese Daten hat.
Antwort3
Wir sind gegangen mitKeePassfür genau diesen Zweck. Es ist ein tolles kleines Programm, das alle Ihre Passwörter in einer verschlüsselten Datenbankdatei speichert. Es gibt zusätzliche Sicherheitsfunktionen, wie zum Beispiel die Notwendigkeit einer Schlüsseldatei zusammen mit dem Hauptpasswort, um auf die Passwörter zuzugreifen. Dies ermöglicht mehrere Sicherheitsebenen (Trennung der Schlüsseldatei und der Datenbank), während es gleichzeitig für alle bequem bleibt, mit all den verschiedenen Passwörtern zu arbeiten. Sie können beispielsweise die App und die Schlüsseldatei von einem USB-Laufwerk ausführen, die Datenbank aber irgendwo in Ihrem Netzwerk speichern. Dazu wären Anmeldeinformationen für die Netzwerkfreigabe, das Hauptpasswort und das physische USB-Laufwerk mit der Schlüsseldatei erforderlich.
Antwort4
Ein paar Dinge:
- Wie andere bereits gesagt haben, ist das keine gute Idee. Verwenden Sie ein LDAP usw.
- Wenn Sie dies aus irgendeinem Grund unbedingt tun müssen, konsolidieren Sie zumindest die Passwörter. 100 nicht verwaltete Passwörter bedeuten, dass Sie die Passwörter nicht aktualisieren.
- Bewahren Sie sie auf Papier auf. Fordern Sie das Personal auf, das Papier mit einer anderen Tinte zu unterschreiben, damit leichter festgestellt werden kann, ob ein Blatt kopiert wurde.
- Wenn Sie Unix verwenden, verwenden Sie S/KEY, um Einmalkennwörter zu generieren. Bewahren Sie diese an einem sicheren Ort auf.
Sie müssen auch über die mechanischen Sicherheitsmaßnahmen hinausgehen, die das Aufbewahren von Papierpasswörtern in einem Safe oder das Verschlüsseln der Passwörter mit sich bringen. Informieren Sie sich darüber, wie Organisationen mit ausgereiften Sicherheitsmodellen Schlüssel und sichere Kombinationen sichern. Ich empfehle nicht, das zu tun, was Sie tun möchten, aber wenn Sie es tun:
- Die Leute, die die Passwörter verwenden, können den Zugriff auf die Passwörter nicht kontrollieren. Eine bestimmte Gruppe von Personen unter einer anderen Managementkette muss den Zugriff auf den Safe, die Schublade usw. kontrollieren. Wenn Sie eine Finanzgruppe haben, könnte diese ein Kandidat sein. Vielleicht der Vizepräsident für Marketing usw.
- Es muss ein schriftliches Protokoll erstellt werden, wenn der Safe geöffnet wird und jemand in den Besitz eines Passworts gelangt.
- Die Passwortänderung muss innerhalb von 24 Stunden nach der Ausleihe erfolgen.
Solche Verfahren sind zwar lästig, werden aber die Leute dazu anregen, vernünftigere Vorgehensweisen zu übernehmen. Wenn Sie nicht so vorgehen, wie ich es beschrieben habe, brauchen Sie Ihre Passwörter gar nicht erst zu sperren, denn eines Tages werden Sie sowieso gehackt.