這有點與密碼最佳實踐但更具體。
您是否對組織中的所有伺服器使用相同的 root 密碼?對於一類設備?
答案1
我想說“是的,到處都是”,但在某些情況下仍然是“不”。我公司正在使用 密碼保險箱為我們的客戶管理密碼,為每個客戶建立「保險箱」。許多客戶都有唯一的、隨機分配的根密碼、本地管理員密碼、設備密碼等。在多個設備上使用相同的密碼。
對於我的個人密碼,我有興趣轉向像這樣的實用程序密碼製作者,它採用“主密碼”和其他一些事實(網站名稱、用戶名等),並根據安全雜湊函數創建隨機密碼。只要您知道您的“主密碼”和“其他事實”,您就可以在每次需要時使用該軟體重新生成您的密碼(即密碼永遠不會存儲在任何地方,無論是加密的、純文字的還是其他形式)。
我還沒有找到一個可以完成我想要的一切的公司密碼「保管」工具:
- 從瀏覽器作為 UI 進行基於 SSL 的訪問
- LDAP 驗證,基於 LDAP 群組成員身分存取資料庫中的密碼的權限。
- 維護每個使用者存取的密碼的審計追蹤(這樣我就知道當有人離開公司時要更改哪些內容)。
- 基於使用者的可設定密碼過期通知(即「使『bob』自我們解僱他以來使用過的每個密碼都過期」)、基於上次設定密碼的日期或基於存取該密碼的唯一使用者數量(「整個服務台、IT 部門和清潔人員都已存取此密碼- 請使其過期。
- 每個密碼的元資料包括過期時透過電子郵件通知的一方、建立日期、最後更改日期、註釋。
- 可選的插件系統允許密碼系統本身連接到系統並自動更新過期密碼。
- 理想情況下運行在基於 Windows 或 Linux 的網頁伺服器上,可能使用 sqlite 作為後端。
我願意在這樣的專案上投入金錢或開發時間,但我從未找到任何接近的專案或想要花時間來讓它啟動。
答案2
我使用 SSH 金鑰,對所有伺服器使用相同的金鑰,並在金鑰檔案上維護一個良好的密碼。省去了很多麻煩。
對於這不起作用的設備,我會使用具有難以猜測核心的密碼,然後使用設備的 DNS 名稱、IP 或其他常見特徵(例如作業系統或品牌)來建立密碼對於設備來說是唯一的。這對於類似設備組尤其有效。只需將模式/助記符與核心一起保密,您就擁有了一個難以記住的、獨特的密碼。
答案3
每台機器都有不同的密碼,但我們將它們全部保存在 pwsafe 中。 PITA 抬頭一看,但阻止了一個突破口讓我們pwnd。
答案4
我工作的組織中所使用的:
桌面/本機 PC 管理員密碼都是相同的(但由於我們對所有電腦進行重影,這是唯一的方法,如果有人找到該密碼,我們仍然可以更改我們的初始重影映像,並更新所有機器接收新影像,我們就會沒事的。
每個伺服器都有不同的密碼。話又說回來,我們不會處理太多的伺服器,如果我沒記錯的話,我可以訪問大約6 個伺服器(但我確信我們有更多),並且他們沒有設定過於複雜的密碼,而是選擇了簡單易記的密碼密碼,向其中添加合理的 |eet5peak,並使它們變得非常非常長(但同樣,易於記住):)
我個人認為,對於桌上型電腦,您希望保持根/管理員密碼相同,以確保使用本機管理員帳戶輕鬆管理。
對於伺服器來說,最好是不同的,以確保如果出現漏洞,它純粹包含在該伺服器上,並且不會進一步發展。此外,密碼複雜性將根據伺服器的重要性而變化(即,保存使用者/密碼的伺服器將具有最高的複雜性,保存日誌的伺服器將具有較低的複雜性,等等)。
我的5c