Используете ли вы один и тот же пароль root для каждого устройства?

Question 1

Я бы хотел сказать "да, везде", но в некоторых случаях это все равно "нет". Моя компания использует Пароль-сейфдля управления паролями наших Клиентов, создавая "сейфы" для каждого клиента. Многие Клиенты имеют уникальные случайно назначенные пароли для root, локального администратора, устройств и т. д. К сожалению, некоторые (либо из-за работы, проделанной предыдущими поставщиками, либо из-за лени с нашей стороны) могут иметь один и тот же пароль, используемый на нескольких устройствах или на нескольких серверах.

Для моих личных паролей я заинтересовался переходом на такую утилиту, какПарольмейкер, который берет "главную парольную фразу" и некоторые другие факты (имя веб-сайта, имя пользователя и т. д.) и создает случайный пароль из безопасной хэш-функции. Пока вы знаете свой "главный пароль" и "другие факты", вы можете использовать программное обеспечение для повторного создания пароля каждый раз, когда он вам нужен (т. е. пароль нигде не хранится, зашифрованный, в виде открытого текста или как-то иначе).

Мне еще предстоит найти инструмент для «хранения» корпоративных паролей, который бы делал все, что мне нужно:

Доступ через SSL из браузеров в качестве пользовательского интерфейса
Аутентификация LDAP, разрешения на доступ к паролям в базе данных на основе членства в группах LDAP.
Ведет журнал аудита паролей, к которым обращался каждый пользователь (чтобы я знал, что менять, когда кто-то уходит из компании).
Настраиваемые уведомления об истечении срока действия пароля в зависимости от пользователя (например, «Истечь срок действия всех паролей, которые когда-либо использовал «Боб» с тех пор, как мы его уволили»), в зависимости от даты последней установки пароля или в зависимости от количества уникальных пользователей, которые получили доступ к паролю («Вся служба поддержки, ИТ-отдел и обслуживающий персонал получили доступ к этому паролю — истечь срок его действия»).
Метаданные по каждому паролю, включая сторону, которую необходимо уведомить по электронной почте в случае истечения срока действия, дату создания, дату последнего изменения, примечания.
Дополнительная система подключаемых модулей, позволяющая системе паролей подключаться к системам и автоматически обновлять просроченные пароли.
В идеале работает на веб-сервере на базе Windows или Linux, возможно, с использованием SQLite в качестве бэкэнда.

Я бы с радостью вложил деньги или время в разработку такого проекта, но мне так и не удалось найти ничего даже близкого или захотеть потратить время на его реализацию.

Answer

Я бы хотел сказать "да, везде", но в некоторых случаях это все равно "нет". Моя компания использует Пароль-сейфдля управления паролями наших Клиентов, создавая "сейфы" для каждого клиента. Многие Клиенты имеют уникальные случайно назначенные пароли для root, локального администратора, устройств и т. д. К сожалению, некоторые (либо из-за работы, проделанной предыдущими поставщиками, либо из-за лени с нашей стороны) могут иметь один и тот же пароль, используемый на нескольких устройствах или на нескольких серверах.

Для моих личных паролей я заинтересовался переходом на такую утилиту, какПарольмейкер, который берет "главную парольную фразу" и некоторые другие факты (имя веб-сайта, имя пользователя и т. д.) и создает случайный пароль из безопасной хэш-функции. Пока вы знаете свой "главный пароль" и "другие факты", вы можете использовать программное обеспечение для повторного создания пароля каждый раз, когда он вам нужен (т. е. пароль нигде не хранится, зашифрованный, в виде открытого текста или как-то иначе).

Мне еще предстоит найти инструмент для «хранения» корпоративных паролей, который бы делал все, что мне нужно:

Доступ через SSL из браузеров в качестве пользовательского интерфейса
Аутентификация LDAP, разрешения на доступ к паролям в базе данных на основе членства в группах LDAP.
Ведет журнал аудита паролей, к которым обращался каждый пользователь (чтобы я знал, что менять, когда кто-то уходит из компании).
Настраиваемые уведомления об истечении срока действия пароля в зависимости от пользователя (например, «Истечь срок действия всех паролей, которые когда-либо использовал «Боб» с тех пор, как мы его уволили»), в зависимости от даты последней установки пароля или в зависимости от количества уникальных пользователей, которые получили доступ к паролю («Вся служба поддержки, ИТ-отдел и обслуживающий персонал получили доступ к этому паролю — истечь срок его действия»).
Метаданные по каждому паролю, включая сторону, которую необходимо уведомить по электронной почте в случае истечения срока действия, дату создания, дату последнего изменения, примечания.
Дополнительная система подключаемых модулей, позволяющая системе паролей подключаться к системам и автоматически обновлять просроченные пароли.
В идеале работает на веб-сервере на базе Windows или Linux, возможно, с использованием SQLite в качестве бэкэнда.

Я бы с радостью вложил деньги или время в разработку такого проекта, но мне так и не удалось найти ничего даже близкого или захотеть потратить время на его реализацию.

Question 2

Я использую ключи SSH, использую один и тот же для всех серверов и сохраняю хороший пароль в своем файле ключей. Избавляет от многих раздражений.

Для устройств, где это не сработает, я бы использовал пароль с трудноугадываемым ядром, а затем использовал бы имя DNS устройства, IP или другую общую характеристику (например, ОС или бренд), чтобы сделать пароль уникальным для устройства. Это особенно хорошо работало для групп похожих устройств. Просто сохраните шаблон/мнемонический секрет вместе с ядром, и у вас будет сложный, уникальный пароль, который легко запомнить.

Answer

Я использую ключи SSH, использую один и тот же для всех серверов и сохраняю хороший пароль в своем файле ключей. Избавляет от многих раздражений.

Для устройств, где это не сработает, я бы использовал пароль с трудноугадываемым ядром, а затем использовал бы имя DNS устройства, IP или другую общую характеристику (например, ОС или бренд), чтобы сделать пароль уникальным для устройства. Это особенно хорошо работало для групп похожих устройств. Просто сохраните шаблон/мнемонический секрет вместе с ядром, и у вас будет сложный, уникальный пароль, который легко запомнить.

Question 3

разные пароли для каждой машины, но мы храним их все в pwsafe. PITA для поиска, но предотвращает одно нарушение, которое может заставить нас pwnd.

Answer

разные пароли для каждой машины, но мы храним их все в pwsafe. PITA для поиска, но предотвращает одно нарушение, которое может заставить нас pwnd.

Question 4

Тот, который использовался в организации, где я работал:

Пароль администратора настольного компьютера/локального ПК одинаков (но поскольку мы делаем образы призраками для всех наших машин, это единственный способ сделать это, и если кто-то когда-нибудь узнает этот пароль, мы все равно сможем изменить наш первоначальный образ призрака и обновить все машины, чтобы получить новый образ, и все будет в порядке).

У каждого сервера свой пароль. Опять же, мы не имеем дело с большим количеством серверов, если я правильно помню, у меня был доступ к 6 (но я уверен, что у нас было больше), и вместо того, чтобы делать слишком сложный пароль, они выбрали простой, легко запоминающийся пароль, добавив к нему разумное |eet5peak и сделав его очень-очень длинным (но, опять же, легко запоминающимся) :)

Лично я считаю, что для настольных ПК следует оставить тот же пароль root/admin, чтобы обеспечить простоту управления с помощью учетной записи локального администратора.

Для серверов лучше всего быть разными, чтобы гарантировать, что если будет нарушение, оно будет ограничено только этим сервером и не пойдет дальше. Также сложность пароля будет меняться в зависимости от важности сервера (т. е. сервер, который хранит пользователей/пароль, будет иметь самую высокую сложность, сервер, который хранит логи, будет иметь меньшую сложность и т. д.).

Мой 5с

Answer

Тот, который использовался в организации, где я работал:

Пароль администратора настольного компьютера/локального ПК одинаков (но поскольку мы делаем образы призраками для всех наших машин, это единственный способ сделать это, и если кто-то когда-нибудь узнает этот пароль, мы все равно сможем изменить наш первоначальный образ призрака и обновить все машины, чтобы получить новый образ, и все будет в порядке).

У каждого сервера свой пароль. Опять же, мы не имеем дело с большим количеством серверов, если я правильно помню, у меня был доступ к 6 (но я уверен, что у нас было больше), и вместо того, чтобы делать слишком сложный пароль, они выбрали простой, легко запоминающийся пароль, добавив к нему разумное |eet5peak и сделав его очень-очень длинным (но, опять же, легко запоминающимся) :)

Лично я считаю, что для настольных ПК следует оставить тот же пароль root/admin, чтобы обеспечить простоту управления с помощью учетной записи локального администратора.

Для серверов лучше всего быть разными, чтобы гарантировать, что если будет нарушение, оно будет ограничено только этим сервером и не пойдет дальше. Также сложность пароля будет меняться в зависимости от важности сервера (т. е. сервер, который хранит пользователей/пароль, будет иметь самую высокую сложность, сервер, который хранит логи, будет иметь меньшую сложность и т. д.).

Мой 5с

Используете ли вы один и тот же пароль root для каждого устройства?

решение1

решение2

решение3

решение4

Связанный контент