소수의 사람들이 수백 개의 비밀번호를 공유하는 모범 사례는 무엇입니까? 이러한 비밀번호는 업무상 중요한 데이터를 보호하며 소규모 팀 외에는 볼 수 없습니다.
답변1
아마도 기업 인트라넷에서 호스팅되는 맞춤형 웹 기반 솔루션을 작성할 것입니다. (보세요http://lastpass.com영감을 얻거나 사용하기 위해. 비밀번호 공유는 해당 기능 중 하나이지만 볼륨에서는 작동하지 않을 수 있습니다.)
편집하다: 물론이죠. 가장 좋은 해결책은 공유하지 마세요. 어떤 매체에든 일반 텍스트 비밀번호를 저장하는 것은 위험합니다. 특히 저장 목적이 공유인 경우에는 더욱 그렇습니다. 거의 무한한 수의 솔루션이 있으며 각각 관련 위험을 초래합니다. 암호화된 디스크 이미지에 저장하고, 해당 이미지를 단일 CD로 굽고, 한 명의 무장 경비원만 열 수 있는 금고에 CD를 넣고, 사진이 있는 신분증을 제시하여 잠금을 해제할 수 있는 권한을 부여받은 사람들에게 요청하는 것은 어떨까요?
요점은 우리가 귀하의 시나리오를 실제로 모른다는 것입니다. 수백 개의 중요한 비밀번호를 공유하는 이유는 무엇입니까? 백오피스 인트라넷, VPN용인가요, 아니면 어떤 이유로든 일반 텍스트로 보관하는 고객 비밀번호인가요? 공유해야 하는 모든 사람들이 동일한 설치에 있습니까? 암호화된 CD나 금고에 보관된 인쇄된 테이블과 같은 물리적 전송이 실제로 작동할까요? 아니면 시스템 관리자가 전 세계에 분산되어 전자 방식으로 공유하고 있습니까?오직해결책?
답변2
가장 좋은 방법은 비밀번호를 공유하지 않는 것입니다. sudo와 같은 도구를 사용하면 사용자가 자신의 계정에서 필요한 액세스 권한을 얻을 수 있습니다. 사용자가 여러 명인 경우 필요한 경우 각 사용자는 자신의 계정을 가져야 합니다. LDAP(Unix/Linux) 및 Active Directory는 공통 데이터베이스에서 여러 서버에 대한 액세스 권한을 부여하는 데 적합한 솔루션입니다.
비밀번호 사본이 필요한 경우 봉인에 서명하고 날짜를 기재한 봉투에 넣어 봉인하십시오. 비밀번호 사용 시 비밀번호를 변경하세요. 비밀번호가 변경되면 새 봉투에 봉인하십시오.
실제로 공유해야 하는 비밀번호의 경우 네트워크에 데이터베이스를 보유할 수 있는 Keepass와 같은 비밀번호 도구 중 하나를 사용하세요. 여러 플랫폼용 클라이언트가 포함된 도구가 더 좋습니다. 둘 이상의 데이터베이스가 필요한지 고려하십시오. 이 데이터에 접근할 수 있는 모든 사람을 정말로 신뢰해야 한다는 점을 기억하세요.
답변3
우리는 함께 갔다키패스바로 이 목적을 위해. 이는 모든 비밀번호를 암호화된 데이터베이스 파일에 저장하는 훌륭하고 작은 프로그램입니다. 비밀번호에 액세스하려면 기본 비밀번호와 함께 키 파일이 필요한 등 추가 보안 기능이 있습니다. 이를 통해 여러 계층의 보안(키 파일과 데이터베이스 분리)이 가능하며 모든 사람이 서로 다른 비밀번호를 사용하여 편리하게 작업할 수 있습니다. 예를 들어 USB 드라이브에서 앱과 키 파일을 실행할 수 있지만 데이터베이스는 네트워크 어딘가에 저장할 수 있습니다. 이를 위해서는 네트워크 공유에 대한 자격 증명, 기본 비밀번호, 키 파일이 있는 물리적 USB 드라이브가 필요합니다.
답변4
몇 가지:
- 다른 사람들이 말했듯이 이것은 나쁜 생각입니다. LDAP 등을 사용하십시오.
- 어떤 이유로든 이 작업을 수행하려는 경우 최소한 암호를 통합하십시오. 관리되지 않는 비밀번호 100개는 비밀번호를 업데이트하지 않는다는 의미입니다.
- 종이에 보관하세요. 시트가 복사되었는지 더 쉽게 확인할 수 있도록 직원이 다른 색상의 잉크로 용지에 서명하도록 요구합니다.
- Unix를 사용하는 경우 S/KEY를 사용하여 일회용 비밀번호를 생성하세요. 안전한 곳에 보관하세요.
또한 종이 비밀번호를 금고에 넣거나 비밀번호를 암호화하는 기계적 보안 조치를 넘어서야 합니다. 성숙한 보안 모델을 갖춘 조직이 키와 안전한 조합을 보호하는 방법을 읽어보세요. 나는 당신이 하고 싶은 일을 하는 것을 권장하지 않습니다. 그러나 당신이 그렇게 한다면:
- 비밀번호를 사용하는 사람은 비밀번호에 대한 액세스를 제어할 수 없습니다. 서로 다른 관리 체인에 속한 특정 그룹의 사람들은 금고, 서랍 등에 대한 액세스를 제어해야 합니다. 재무 그룹이 있는 경우 이들이 후보가 될 수 있습니다. 어쩌면 마케팅 부사장 등일 수도 있습니다.
- 금고가 열렸을 때, 누군가가 비밀번호를 소유하게 되었을 때 기록된 로그가 있어야 합니다.
- 비밀번호는 체크아웃 후 24시간 이내에 변경해야 합니다.
이와 같은 절차는 골치 아픈 일이지만 사람들이 좀 더 건전한 관행을 채택하도록 유도하는 역할을 할 것입니다. 제가 설명한 것과 같은 일을 하지 않는다면, 비밀번호를 잠그는 동작을 하지 마세요. 어쨌든 언젠가는 비밀번호가 유출될 것이기 때문입니다.