系統管理員團隊如何安全地共享密碼?

系統管理員團隊如何安全地共享密碼?

在少數人之間共享數百個密碼的最佳做法是什麼?這些密碼保護任務關鍵數據,除了小團隊之外永遠無法看到。

答案1

我可能會編寫一個託管在公司內部網路上的基於 Web 的自訂解決方案。 (看一眼http://lastpass.com尋找靈感,或使用它。共享密碼是其功能之一,儘管它可能不適用於您的捲。

編輯:當然,最好的解決方案,不要分享它們。在任何媒體中儲存明文密碼都是危險的,特別是當儲存它們的目的是共用它們時。解決方案的數量幾乎是無限的,每一種都會帶來相關的危險。為什麼不將它們放在加密的磁碟映像上,將該映像刻錄到一張 CD 上,將 CD 放入只有一名武裝警衛可以打開的保險箱中,並授權人員出示帶照片的身份證件將其解鎖?

關鍵是我們並不真正了解您的情況。為什麼要共享數百個關鍵任務密碼?它們是用於您的後台 Intranet、VPN,還是您出於某種原因以明文形式保存的客戶密碼?您需要與其共享的所有人都在同一個安裝中嗎?像加密 CD 或儲存在保險箱中的列印表格這樣的實體傳輸實際上有效嗎?或者您的系統管理員是否遍布全球,以電子方式共享它們僅有的解決方案?

答案2

最佳做法是不要共享密碼。使用 sudo 等工具允許使用者從自己的帳戶獲得所需的存取權限。如果您有幾個用戶,每個用戶都應該在需要時擁有自己的帳戶。 LDAP (Unix/Linux) 和 Active Directory 是授予從公用資料庫存取多個伺服器的良好解決方案。

如果需要密碼的書面副本,請將其密封在信封中並在封條上簽名並註明日期。使用時請更改密碼。更改密碼後,將其密封在新信封中。

對於確實需要共享的密碼,請使用一種密碼工具,例如 Keepass,它可以在網路上擁有資料庫。具有適用於多個平台的客戶端的工具更好。考慮您是否需要多個資料庫。請記住,您需要真正信任有權存取此資料的每個人。

答案3

我們一起去了凱通為了這個確切的目的。這是一個很棒的小程序,它將您的所有密碼儲存在加密的資料庫檔案中。還有其他安全功能,例如需要金鑰檔案和主密碼才能存取密碼。這允許多層安全(將密鑰檔案和資料庫分開),同時讓每個人都可以輕鬆使用所有不同的密碼。例如,您可以從 USB 驅動器運行應用程式和密鑰文件,但將資料庫儲存在網路上的某個位置。這需要網路共享的憑證、主密碼以及帶有密鑰檔案的實體 USB 驅動器。

答案4

一些東西:

  • 正如其他人所說,這是一個壞主意。使用 LDAP 等
  • 如果您出於某種原因決定這樣做,至少要合併密碼。 100 個非託管密碼意味著您沒有更新密碼。
  • 把它們寫在紙上。請工作人員用不同顏色的墨水在紙張上簽名,以便更容易確定紙張是否被複印。
  • 如果您使用的是 Unix,請使用 S/KEY 產生一次性密碼。將其存放在安全的地方。

您還需要超越將紙本密碼放入保險箱或加密密碼的機械安全措施。請閱讀具有成熟安全模型的組織如何保護金鑰和安全組合。我不建議你做你想做的事,但如果你這樣做:

  • 使用密碼的人無法控制對密碼的存取。不同管理鏈下的不同人群需要控制對保險箱、抽屜等的存取。也許是行銷副總裁等。
  • 當保險箱被打開並且有人擁有密碼時,需要有書面記錄。
  • 密碼必須在退房後24小時內更改。

像這樣的程序雖然令人頭疼,但會激勵人們採取更理智的做法。如果你不做我所描述的事情,就不要費心去執行鎖定密碼的動作,因為無論如何你總有一天會被破壞。

相關內容