Как команда системных администраторов обеспечивает безопасный обмен паролями?

Как команда системных администраторов обеспечивает безопасный обмен паролями?

Каковы наилучшие практики для обмена сотнями паролей между несколькими людьми? Эти пароли защищают критически важные данные и никогда не будут видны за пределами небольшой команды.

решение1

Я бы, вероятно, написал индивидуальное веб-решение, размещенное в корпоративной интрасети. (взгляните наhttp://lastpass.com(Для вдохновения или для использования. Обмен паролями — одна из его функций, хотя для вашего тома это может не работать.)

РЕДАКТИРОВАТЬ: Конечно, лучшее решение — не делиться ими. Хранение паролей в открытом виде на любом носителе опасно, особенно если целью их хранения является возможность поделиться ими. Существует практически бесконечное количество решений, каждое из которых несет в себе определенную опасность. Почему бы не поместить их на зашифрованный образ диска, не записать этот образ на один CD, не положить этот CD в сейф, который может открыть только один вооруженный охранник, и не попросить уполномоченных лиц предъявить удостоверение личности с фотографией, чтобы разблокировать его?

Дело в том, что мы на самом деле не знаем ваш сценарий. Почему вы делитесь сотнями критически важных паролей? Они для вашей внутренней сети бэк-офиса, VPN или это пароли клиентов, которые вы храните в открытом виде по какой-то причине? Все ли люди, с которыми вам нужно поделиться, находятся в одной и той же установке? Будет ли работать физическая передача, например, зашифрованный компакт-диск или печатная таблица, хранящаяся в сейфе? Или ваши системные администраторы разбросаны по всему миру, делая электронные средства обмена имитолькорешение?

решение2

Лучшей практикой является не делиться паролями. Используйте такие инструменты, как sudo, чтобы позволить пользователям получать доступ, который им нужен, из их собственных учетных записей. Если у вас несколько пользователей, у каждого из них должны быть свои собственные учетные записи, где это необходимо. LDAP (Unix/Linux) и Active Directory являются хорошим решением для предоставления доступа к нескольким серверам из общей базы данных.

Если необходимо иметь письменную копию пароля, запечатайте ее в конверт с подписью и датой на печати. ​​Измените пароль, когда он используется. При изменении пароля запечатайте его в новый конверт.

Для паролей, которыми действительно нужно поделиться, используйте один из инструментов для работы с паролями, например Keepass, который может иметь свою базу данных в сети. Инструменты с клиентами для нескольких платформ лучше. Подумайте, нужно ли вам больше одной базы данных. Помните, что вам нужно действительно доверять всем, у кого есть доступ к этим данным.

решение3

Мы пошли сKeePassименно для этой цели. Это отличная маленькая программа, которая хранит все ваши пароли в зашифрованном файле базы данных. Есть дополнительные функции безопасности, такие как необходимость в файле ключа вместе с основным паролем для доступа к паролям. Это позволяет обеспечить несколько уровней безопасности (отделить файл ключа и базу данных), при этом сохраняя удобство для всех работать со всеми различными паролями. Например, вы можете запустить приложение и файл ключа с USB-накопителя, но хранить базу данных где-то в своей сети. Для этого потребуются учетные данные для сетевого ресурса, основной пароль и физический USB-накопитель с файлом ключа.

решение4

Несколько вещей:

  • Как уже сказали другие, это плохая идея. Используйте LDAP и т. д.
  • Если вы по какой-либо причине решили это сделать, по крайней мере консолидируйте пароли. 100 неуправляемых паролей означают, что вы не обновляете пароли.
  • Держите их на бумаге. Требуйте, чтобы сотрудники подписывали бумагу чернилами другого цвета, чтобы было легче определить, был ли лист скопирован.
  • Если вы используете Unix, используйте S/KEY для генерации одноразовых паролей. Сохраните его в безопасном месте.

Вам также нужно выйти за рамки механических мер безопасности, например, положить бумажные пароли в сейф или зашифровать пароли. Почитайте, как организации со зрелыми моделями безопасности защищают ключи и комбинации сейфов. Я не рекомендую делать то, что вы хотите, но если вы это сделаете:

  • Люди, которые будут использовать пароли, не могут контролировать доступ к паролям. Отдельная группа людей в другой цепочке управления должна контролировать доступ к сейфу, ящику и т. д. Если у вас есть финансовая группа, они могут быть кандидатом. Возможно, вице-президент по маркетингу и т. д.
  • Необходимо вести письменный журнал, регистрирующий факт открытия сейфа и получения кем-либо пароля.
  • Пароль необходимо сменить в течение 24 часов с момента выписки.

Подобные процедуры — головная боль, но они послужат стимулом для людей перенимать более разумные практики. Если вы не делаете что-то вроде того, что я описал, не беспокойтесь о том, чтобы заблокировать пароли, потому что вас все равно когда-нибудь взломают.

Связанный контент