모든 장치에 동일한 루트 비밀번호를 사용합니까?

Question 1

나는 "어디서든 그렇습니다"라고 말하고 싶지만 어떤 경우에는 여전히 "아니오"입니다. 우리 회사가 사용하고 있는 비밀번호 안전고객별로 "금고"를 생성하여 고객의 비밀번호를 관리합니다. 많은 고객은 루트, 로컬 관리자, 장치 등에 대해 무작위로 할당된 고유한 비밀번호를 가지고 있습니다. 불행하게도 일부 고객은(이전 공급업체의 작업 또는 당사의 게으름으로 인해) 여러 장치 또는 여러 장치에서 동일한 비밀번호를 사용할 수 있습니다. 서버 컴퓨터.

내 개인 비밀번호의 경우 다음과 같은 유틸리티로 이동하는 데 관심이 있습니다.비밀번호 생성기, "마스터 암호 문구"와 기타 정보(웹 사이트 이름, 사용자 이름 등)를 가져와 보안 해시 기능에서 임의의 비밀번호를 생성합니다. "마스터 비밀번호"와 "기타 사실"을 알고 있는 한, 필요할 때마다 소프트웨어를 사용하여 비밀번호를 다시 생성할 수 있습니다(즉, 비밀번호는 암호화되거나 일반 텍스트 등 어디에도 저장되지 않습니다).

저는 아직 제가 원하는 모든 기능을 수행하는 회사 비밀번호 "보관" 도구를 찾지 못했습니다.

브라우저에서 UI로 SSL 기반 액세스
LDAP 인증, LDAP 그룹 멤버십을 기반으로 데이터베이스의 비밀번호에 액세스할 수 있는 권한입니다.
각 사용자가 액세스한 비밀번호에 대한 감사 추적을 유지합니다(누군가 퇴사할 때 무엇을 변경해야 하는지 알 수 있도록).
사용자(예: "'bob'이 해고된 이후로 'bob'이 사용한 모든 비밀번호 만료"), 마지막으로 설정된 날짜 비밀번호 또는 비밀번호에 액세스한 고유 사용자 수(" 전체 헬프 데스크, IT 부서 및 관리 직원이 이 비밀번호에 액세스했습니다. 만료시키십시오.")
만료 시 이메일을 통해 통보할 당사자, 생성 날짜, 마지막 변경 날짜, 메모를 포함한 각 비밀번호의 메타데이터입니다.
비밀번호 시스템 자체가 시스템에 연결되고 만료된 비밀번호를 자동으로 업데이트할 수 있는 옵션 플러그인 시스템입니다.
이상적으로는 sqlite를 백엔드로 사용하여 Windows 또는 Linux 기반 웹 서버에서 실행됩니다.

나는 그러한 프로젝트에 기꺼이 돈이나 개발 시간을 투자할 의향이 있지만, 이 프로젝트에 근접하거나 시작하는 데 시간을 투자하고 싶은 것을 본 적이 없습니다.

Answer

나는 "어디서든 그렇습니다"라고 말하고 싶지만 어떤 경우에는 여전히 "아니오"입니다. 우리 회사가 사용하고 있는 비밀번호 안전고객별로 "금고"를 생성하여 고객의 비밀번호를 관리합니다. 많은 고객은 루트, 로컬 관리자, 장치 등에 대해 무작위로 할당된 고유한 비밀번호를 가지고 있습니다. 불행하게도 일부 고객은(이전 공급업체의 작업 또는 당사의 게으름으로 인해) 여러 장치 또는 여러 장치에서 동일한 비밀번호를 사용할 수 있습니다. 서버 컴퓨터.

내 개인 비밀번호의 경우 다음과 같은 유틸리티로 이동하는 데 관심이 있습니다.비밀번호 생성기, "마스터 암호 문구"와 기타 정보(웹 사이트 이름, 사용자 이름 등)를 가져와 보안 해시 기능에서 임의의 비밀번호를 생성합니다. "마스터 비밀번호"와 "기타 사실"을 알고 있는 한, 필요할 때마다 소프트웨어를 사용하여 비밀번호를 다시 생성할 수 있습니다(즉, 비밀번호는 암호화되거나 일반 텍스트 등 어디에도 저장되지 않습니다).

저는 아직 제가 원하는 모든 기능을 수행하는 회사 비밀번호 "보관" 도구를 찾지 못했습니다.

브라우저에서 UI로 SSL 기반 액세스
LDAP 인증, LDAP 그룹 멤버십을 기반으로 데이터베이스의 비밀번호에 액세스할 수 있는 권한입니다.
각 사용자가 액세스한 비밀번호에 대한 감사 추적을 유지합니다(누군가 퇴사할 때 무엇을 변경해야 하는지 알 수 있도록).
사용자(예: "'bob'이 해고된 이후로 'bob'이 사용한 모든 비밀번호 만료"), 마지막으로 설정된 날짜 비밀번호 또는 비밀번호에 액세스한 고유 사용자 수(" 전체 헬프 데스크, IT 부서 및 관리 직원이 이 비밀번호에 액세스했습니다. 만료시키십시오.")
만료 시 이메일을 통해 통보할 당사자, 생성 날짜, 마지막 변경 날짜, 메모를 포함한 각 비밀번호의 메타데이터입니다.
비밀번호 시스템 자체가 시스템에 연결되고 만료된 비밀번호를 자동으로 업데이트할 수 있는 옵션 플러그인 시스템입니다.
이상적으로는 sqlite를 백엔드로 사용하여 Windows 또는 Linux 기반 웹 서버에서 실행됩니다.

나는 그러한 프로젝트에 기꺼이 돈이나 개발 시간을 투자할 의향이 있지만, 이 프로젝트에 근접하거나 시작하는 데 시간을 투자하고 싶은 것을 본 적이 없습니다.

Question 2

저는 SSH 키를 사용하고, 모든 서버에 동일한 키를 사용하고, 키 파일에 좋은 비밀번호를 유지합니다. 많은 악화를 줄여줍니다.

이것이 작동하지 않는 장치의 경우 추측하기 어려운 코어가 있는 비밀번호를 사용한 다음 장치의 DNS 이름, IP 또는 기타 일반적인 특성(예: OS 또는 브랜드)을 사용하여 비밀번호를 만듭니다. 장치에 고유합니다. 이는 유사한 장치 그룹에 특히 효과적이었습니다. 핵심과 함께 패턴/니모닉을 비밀로 유지하기만 하면 기억하기 쉬운 어렵고 고유한 비밀번호를 갖게 됩니다.

Answer

저는 SSH 키를 사용하고, 모든 서버에 동일한 키를 사용하고, 키 파일에 좋은 비밀번호를 유지합니다. 많은 악화를 줄여줍니다.

이것이 작동하지 않는 장치의 경우 추측하기 어려운 코어가 있는 비밀번호를 사용한 다음 장치의 DNS 이름, IP 또는 기타 일반적인 특성(예: OS 또는 브랜드)을 사용하여 비밀번호를 만듭니다. 장치에 고유합니다. 이는 유사한 장치 그룹에 특히 효과적이었습니다. 핵심과 함께 패턴/니모닉을 비밀로 유지하기만 하면 기억하기 쉬운 어렵고 고유한 비밀번호를 갖게 됩니다.

Question 3

모든 기계마다 비밀번호가 다르지만 우리는 모든 비밀번호를 pwsafe에 보관합니다. PITA를 찾아보지만 한 번의 위반으로 인해 pwnd가 발생하지 않습니다.

Answer

모든 기계마다 비밀번호가 다르지만 우리는 모든 비밀번호를 pwsafe에 보관합니다. PITA를 찾아보지만 한 번의 위반으로 인해 pwnd가 발생하지 않습니다.

Question 4

제가 일했던 조직에서 사용했던 것:

데스크탑/로컬 PC 관리자 비밀번호는 모두 동일합니다(그러나 우리는 모든 시스템을 고스팅하기 때문에 이것이 유일한 방법이며, 누군가 해당 비밀번호를 발견한 경우에도 초기 고스트 이미지를 변경하고 모두 업데이트할 수 있습니다). 기계가 새 이미지를 수신하면 우리는 괜찮을 것입니다.

서버마다 비밀번호가 다릅니다. 그렇다면 우리는 너무 많은 서버를 다루지 않습니다. 제가 액세스할 수 있었던 6개 정도를 정확하게 기억한다면(하지만 더 많은 서버가 있었을 것이라고 확신합니다) 지나치게 복잡한 비밀번호를 만드는 대신 간단하고 기억하기 쉬운 비밀번호를 선택했습니다. 비밀번호를 입력하고 합리적인 |eet5peak를 추가하고 정말 길게 만듭니다(하지만 다시 한번 말하지만 기억하기 쉽습니다) :)

개인적으로 저는 데스크탑 PC의 경우 루트/관리자 비밀번호를 동일하게 유지하여 로컬 관리자 계정을 사용하여 쉽게 관리할 수 있기를 원한다고 믿습니다.

서버의 경우 위반이 있는 경우 해당 서버에만 포함되고 더 이상 진행되지 않도록 하기 위해 차별화하는 것이 가장 좋습니다. 또한 비밀번호 복잡성은 서버의 중요성에 따라 변경됩니다(예: 사용자/패스를 유지하는 서버는 가장 복잡하고, 로그를 유지하는 서버는 덜 복잡합니다).

내 5c

Answer