Domanda:
Gestione delle password all'interno di un'organizzazione
Mark Davidson
2010-11-23 18:27:20 UTC
view on stackexchange narkive permalink

All'interno di un'organizzazione ci sono molte password come quelle per gli account root sui server, account di hosting, accessi al router e altre cose simili, di cui è necessario tenere traccia.

So che in alcune organizzazioni è il caso in cui il capo dell'IT conosce solo queste password, le password sono scritte da qualche parte, memorizzate su un wiki dietro un login, o le password sono memorizzate in un file su un server (forse crittografato).

La mia domanda è semplicemente qual è il modo più efficace per gestire queste password e memorizzare le password in modo sicuro. So che questo argomento è stato discusso in precedenza riguardo a un utente domestico qui, ma sono specificamente interessato al modo migliore per affrontarlo per le aziende di medie e grandi dimensioni. Sarei anche interessato a sapere quale approccio è stato utilizzato all'interno delle organizzazioni di altre persone, anche se non è il più efficace.

Per chiarire, stai parlando solo di utenti privilegiati, utenti singoli / condivisi o gestione utenti / identità in generale?
Le mie scuse pensavo di essere stato abbastanza chiaro. Sto parlando dei dettagli dell'account per il sistema e i dispositivi per i quali un utente non può avere il proprio rilascio e non può essere gestito utilizzando un altro sistema di accesso in quanto non ha alcun controllo su di essi. Gli utenti privilegiati dovrebbero essere in grado di accedere alle password ma altre persone ovviamente non dovrebbero essere in grado di farlo. Spero che abbia più senso.
Quindi, utenti condivisi / modalità utente singolo, quindi. Anzi, problema diverso ...
Sto ancora cercando una risposta davvero buona a questa domanda, quindi ho aggiunto una taglia. Per assicurarmi che sia assolutamente chiaro, sto cercando una soluzione che memorizzi le password per dispositivi / programmi che richiedono l'utilizzo di una password, anche se non lo desideri. Ad esempio router, alcuni firewall, account di hosting, ecc. Queste password dovrebbero essere accessibili solo al personale amministrativo.
[1Password] (https://agilebits.com/onepassword) è davvero fantastico e multipiattaforma. Ha anche disposizioni speciali per database, server e così via. Puoi creare un 'Valt' che può essere condiviso tramite Dropbox (e Google Drive e iCloud se ricordo bene) e quindi aggiornato a livello globale. Sono sicuro che non c'è bisogno di aggiungere l'avvertenza che una password non può mai essere "dimenticata".
Termine di ricerca che mi ha dato buoni risultati: gestione dei segreti open source
Undici risposte:
#1
+14
Tok
2010-11-29 20:03:57 UTC
view on stackexchange narkive permalink

Anche se ho visto molte implementazioni di soluzioni a questo problema, credo che il più completo, se non forse il più conveniente, fosse un repository Git limitato ai super utenti che contenevano solo file di testo crittografati di password per ambiente. La gestione della rotazione delle password sui dispositivi, sui server misti e sui dispositivi dedicati come i modem, è stata gestita separatamente.

Questa soluzione ha notevolmente semplificato la distribuzione di nuove password in quanto un semplice aggiornamento doveva essere eseguito dagli utenti per ricevere ultima revisione delle password, oltre a fornire una cronologia tracciabile delle password precedenti per la conservazione dei record.

Come ricordo i file erano crittografati GPG, ma ci sono numerose soluzioni e approcci praticabili per gestire i file stessi.

L'ovvio svantaggio di questo approccio è che, specialmente quando le password sono cambiate, stai decrittografando uno o più file cercando le password richieste. Ovviamente, come per qualsiasi cosa, più spesso usi una password, più è probabile che tu la memorizzi e, a seconda del dispositivo o dei dispositivi in ​​questione, l'accesso potrebbe essere un evento raro che non è molto ostacolato dal dover passare attraverso un processo un po 'più lungo per ottenere la password appropriata.

Se sei interessato anche a strategie e / o script per la generazione e / o la modifica delle password su server e / o altri dispositivi, sarei lieto di condividerli che uso anche io.

-

Sarei felice di farlo.

Presumo che tu abbia familiarità con la crittografia dei file, PGP o altro. Se questo è errato, non esitare a chiedere e sarò felice di fornire alcuni esempi.

La configurazione di un repository Git è relativamente semplice e mostrerà somiglianze con la maggior parte delle soluzioni di gestione dei contenuti con cui potresti avere esperienza. Una nota con Git: è, per progettazione, completamente aperto e, come tale, richiederà passaggi aggiuntivi per limitare l'accesso a file o repository specifici. Ciò può essere ottenuto in modo relativamente semplice sfruttando le acl del file system (solo una possibile soluzione). Detto questo, consiglierei sicuramente di utilizzare una soluzione con la quale sei a tuo agio e familiare, soprattutto se nella tua organizzazione sono già in uso soluzioni alternative per la gestione dei contenuti.

I file verranno, da definizione, rappresentano un database di password che mette in correlazione gli identificativi del dispositivo, come il nome host, alle password e, potenzialmente, ai nomi utente. Ad esempio: router-1.internetdomainwebsite.com administrator soopersekretpasswerd . Idealmente non si archivierà mai il file non crittografato, tuttavia, seguire questa strategia rende il recupero delle password relativamente scomodo. Per questo motivo, consiglio di creare uno script per una funzione di accesso che funzioni all'interno del tuo framework di crittografia, magari prendendo un identificatore come termine di ricerca e scrivendo solo la password richiesta in un file per utilizzarla una volta sola dal richiedente.

che supporta le modifiche della password possono essere script. Poiché la maggior parte dei dispositivi supporta la modifica delle password da una CLI, consiglierei di dare un'occhiata al linguaggio Expect e / o alle sue librerie per Perl, Python o alla lingua di tua scelta. Personalmente utilizzo uno script che accetta il nome utente desiderato, accetta la password corrente, accetta e verifica la password desiderata, quindi modifica e verifica la modifica su tutti gli host passati o forniti quando richiesto. È abbastanza semplice Perl con Expect.

Questo sembra più o meno quello che fa [pass] (http://www.passwordstore.org/).
#2
+9
Simon East
2014-11-12 08:18:56 UTC
view on stackexchange narkive permalink

Gestisco un'agenzia digitale e spesso dobbiamo gestire una serie di password e condividerle tra il nostro team di sviluppatori / manager, ecc., quindi abbiamo cercato il modo migliore per gestirlo. (In precedenza utilizzavamo KeePass sincronizzato su Dropbox, ma stava diventando ingestibile.)

Abbiamo deciso una soluzione cloud / ospitata a cui è possibile accedere dai nostri computer e dispositivi mobili quando siamo fuori ufficio.

Queste sono alcune delle opzioni che hanno fatto la nostra lista dei preferiti:

  • LastPass
    Le singole voci possono essere condivise con un account gratuito, ma richiede un account premium ($ 12 / anno) per condividere una singola cartella o un account aziendale ($ 24 / anno) per condividere più cartelle.

  • 1 password
    $ 3-8 per utente al mese, a seconda del piano

  • Passpack
    Gratuito per 1 utente, $ 18 / anno per 3 utenti, $ 48 / anno per 15 utenti.
    Purtroppo l'utente -l'interfaccia non è così amichevole come potrebbe essere, ma a quanto pare una riprogettazione dovrebbe avvenire nel 2014.

  • Dashlane
    Account di base gratuito o $ 40 / utente / mese per la sincronizzazione su dispositivi e sha sono più di 5 elementi.

    Vedi: Analisi della sicurezza di Dashlane

  • CommonKey
    Gratuito per team di 3 persone o $ 20 / mese + $ 2 / utente / mese per le funzioni aziendali / aziendali.

  • Mitro
    Interfaccia utente gratuita e di grande qualità, ma con poche funzionalità.

  • Meldium (ora di proprietà di LogMeIn)
    A partire da $ 29 al mese per 20 utenti.

  • RoboForm Enterprise
    $ 37,95 per licenza, una tantum.

Non posso commentare la sicurezza di ciascuno di essi, ma la maggior parte ora (per fortuna!) esegue la crittografia sul lato client, in modo che anche gli sviluppatori e gli amministratori dell'azienda non possano accedere alle tue password.

LastPass sembra soddisfare la maggior parte delle nostre esigenze, quindi attualmente lo stiamo provando. Inizialmente ci era stato consigliato Passpack, ma abbiamo trovato l'interfaccia piuttosto goffa e si è rifiutato di importare il nostro file KeePass contenente un paio di centinaia di account.

Per favore commenta se hai dettagli extra o qualsiasi aggiunta degna a questo elenco e Proverò ad aggiornarlo.

Vedi anche: Quanto sono sicuri i gestori di password come LastPass?

Sono abbastanza impressionato da quello che vedo con [Bitwarden] (https://bitwarden.com) - non pensare che esistesse quando hai creato la tua lista.
Grazie per il suggerimento @Iiridayn - sì, non ne avevo sentito parlare, ma sembra sicuramente una degna alternativa!Li proverò.
#3
+8
AviD
2010-11-26 14:29:48 UTC
view on stackexchange narkive permalink

Come da tuo commento, stai parlando di sistemi e dispositivi che insistono su utenti condivisi / modalità utente singolo:

Prima di tutto, cerca di evitare / ridurre al minimo questo il più possibile.

Secondo, evita e minimizza questo il più possibile.

Terzo, questo dovrebbe essere sicuramente da tenere in considerazione quando si valutano prodotti / servizi: se ha una tale insicurezza intrinseca, potresti non volerlo dopo tutto. È probabile che ci siano anche altri problemi ...

Quarto, ricontrolla con il venditore / provider per vedere se c'è un modo per configurarlo in modo sicuro.

Quinto, si consideri la creazione di una sottile applicazione di tipo "proxy", che imporrà l'autenticazione dell'utente, e quindi utilizzerà il proprio account unico per il dispositivo, con la propria password casuale interna.

Sesto - se tutto quanto sopra non è rilevante / non funziona (seriamente ??) - Ho visto luoghi che hanno una cartella crittografata ACL - o meglio, un cryptosafe - con accesso concesso solo a gli amministratori e in esso memorizzavano i file con le password generate in modo casuale.
A seconda della cultura / del tipo di organizzazione, potrebbe essere meglio stampare le password e archiviarle in una cassaforte REALE, protetta dai responsabili della sicurezza e la combinazione data solo agli amministratori ....

+1 per "stampare su carta e conservare in una cassaforte fisica". Onestamente, questa soluzione dovrebbe essere utilizzata più spesso di quanto non sia. In molte piccole aziende (caotiche, limitate in termini di risorse), * la lentezza nel riparare i tempi di inattività del server / dispositivo * comporta più danni economici che non essere stati attaccati da un intruso umano.
#4
+5
nealmcb
2010-11-24 21:27:28 UTC
view on stackexchange narkive permalink

Le password sono il problema, non la soluzione. Il problema generale è l'autenticazione e l'autorizzazione sicure, spesso viste come parte della "Gestione identità".

LDAP o Kerberos / AD possono essere utilizzati per centralizzare l'autenticazione e mantenere sincronizzate le password. L'utilizzo di SSH e dell'autenticazione con chiave pubblica / privata è un'altra buona opzione.

L'approccio più moderno consiste nel risolvere il problema in un modo più generale e conveniente, che aiuta anche le persone a passare dalle password ai token sicuri o altro modi più robusti per l'autenticazione. Un sistema Single Sign-On che consente alle persone di autenticarsi una volta e quindi sfruttare l'autenticazione per l'autorizzazione ad accedere ad altri servizi è una soluzione comune.

Gli approcci tecnici per farlo includono OAuth, SAML, Shibboleth e InfoCard .

Anche se mi piace quello che hai scritto, non sono sicuro che questa sia una risposta diretta alla domanda o pertinente. Vedi il mio commento in alto.
@avid Forse le risposte sono diverse per le medie e grandi imprese. Quelli medi che non sono focalizzati sull'IT potrebbero trovare accettabile l'utilizzo di password individuali per l'accesso a molte risorse IT e necessitano di un modo per gestirle. Ma se una grande impresa lo stesse ancora facendo, sarei spaventato. In ogni caso, il punto è che sempre più stiamo trovando modi convenienti per sfuggire alle password, il che può essere una vera responsabilità. Ma la mia risposta non è ancora molto utile in modo concreto ...
forse la mia modifica aiuta un po '.
Sì, btter ora, ma sfortunatamente ci sono ancora molti dispositivi / programmi che * richiedono * di utilizzare una password, anche se non lo desideri. Ad esempio router, alcuni firewall, account di hosting, etcc - dalla domanda.
E l'altro problema con il Single Sign-On è che il loro account utente ordinario ottiene improvvisamente privilegi di amministratore perché SSO non aumenta molto bene i privilegi, se non del tutto. Inoltre, non aiuta per i sistemi sicuri in cui si desidera controllare l'accesso tramite un'autenticazione combinata se sono necessarie due o più persone che lavorano in combinazione per l'autenticazione (il solito scenario di rottura del vetro)
#5
+4
atdre
2010-11-28 07:04:37 UTC
view on stackexchange narkive permalink

Le password di root e gli account amministratore di tutti i tipi devono essere eseguiti nel modo seguente:

3 principali stakeholder li assegnano in modo casuale con un assortimento di caratteri molto pseudo-casuale di dimensioni massime.

Li annotano (senza memorizzarli) e li mettono in buste e li conservano / fissano in modo sicuro. Li ruotano ogni anno con nuove passphrase.

L'uso quotidiano viene effettuato tramite account di amministratore di gruppo legati a nomi reali, separando gli appaltatori sia per nome account (ad es. Admcjsmith invece di admjsmith) che per dominio (se possibile). Unix / LDAP è fatto in modo simile ad es. tramite sudo.

Account con nome come root e Administrator non dovrebbero mai essere usati o conosciuti. In modo simile, gli account chiave di accesso al cloud / chiave API devono essere compartimentati e protetti.

#6
+3
Wayne
2010-11-29 03:12:00 UTC
view on stackexchange narkive permalink

Usiamo KeePass per memorizzare le password. Ogni team leader in IT (sicurezza, sistemi, clinico, business, accessori) è responsabile del database KeePass del proprio team e della manutenzione dei contenuti. Se qualcuno con accesso a un determinato database lascia il dipartimento o l'organizzazione, tutte le password in quel database devono essere modificate.

Ho visto e rivisto applicazioni che eseguono il proxy dell'autenticazione per supportare il controllo e la gestione delle password. Funzionavano per alcune delle nostre applicazioni più comuni, ma non riguardavano le applicazioni specifiche del settore che utilizziamo.

#7
+3
goodguys_activate
2010-12-02 05:40:06 UTC
view on stackexchange narkive permalink

Ho lavorato con "Secret Server" su http://www.thycotic.com/. Posso fornire una singola password e condividerla tra tutte le persone che desidero.

C'è un audit trail e un'ottima funzionalità di ricerca incorporata nell'applicazione web. Esiste anche una versione online "cloud" dell'applicazione che è gratuita per un utente.

Puoi creare un nuovo segreto per ogni dispositivo che possiedi e aggiungere il tuo secondo necessità:

Security Choices

Tutti gli accessi a questo database sono protetti da credenziali locali o Active Directory. Se scegli di farlo, puoi avere un accesso senza interruzioni (SSO) per accedere al database per l'utente attualmente connesso su Kerberos / NTLM.

Nel complesso, penso che questa sia una buona scelta per un team, e archivio generale per le informazioni sulla sicurezza aziendale.

#8
+2
snth
2011-05-12 03:20:06 UTC
view on stackexchange narkive permalink

Concordo con nealmcb sul fatto che in un ambiente controllato con amministratori competenti una soluzione single sign-on è probabilmente la migliore.

Per le credenziali di tracciamento per siti Web o servizi di terze parti potresti dare un'occhiata a lastpass. la soluzione aziendale di com che ti consente di condividere le credenziali di accesso con utenti e ruoli specifici.

Ho anche sentito "Clipperz" menzionato in questo contesto prima, ma non ho esperienza con esso.

#9
+1
hpavc
2010-11-24 02:59:01 UTC
view on stackexchange narkive permalink

Mi piace molto Password Manager Pro. È un sito web che è legato al tuo annuncio / ldap che condividerà le password con la tua organizzazione in qualunque gruppo tu voglia, le persone possono anche memorizzare le proprie password.

Svolgerà un solido lavoro di policy, storicamente , audit e cosa no.

Ha anche capacità di modifica, ho cablato alcuni bei script pam per apportare alcune modifiche direttamente da PMP che sarebbe stato doloroso fare altrimenti.

Alcune delle password rigide, come la password della soluzione di rete, le password di un datacenter remoto e cose del genere, hanno una logica preconfezionata che può essere modificata. Incredibile quando porti a termine tutto quel lavoro per vedere quanto hai in giro e quanto dovresti avere più gruppi di utenti e così via.

Vedi questa domanda: http://security.stackexchange.com/q/279/33. Ovviamente qui lo è ancora di più, se parli di credenziali aziendali ...
#10
  0
kenorb
2017-10-12 16:28:28 UTC
view on stackexchange narkive permalink

Dipende principalmente dalla politica e dai requisiti dell'azienda.

Ad esempio, se la maggior parte delle credenziali viene utilizzata da strumenti automatizzati (per scopi di integrazione continua), è possibile utilizzare Ansible Vault funzionalità che consente di conservare dati sensibili come password o chiavi in ​​file crittografati. Questi file possono essere controllati dalla versione e le persone che vi accedono possono sempre eseguire ansible-vault view some-encrypted-file .

Se non hai intenzione di utilizzare Ansible , puoi semplicemente utilizzare GPG Tools e salvare file crittografati in un repository di codice.

Se utilizzi ampiamente piattaforme cloud (come i servizi Amazon), alcuni le piattaforme di gestione cloud (come Scalr) ti consentono di organizzare password e chiavi private online.

Se le tue password devono essere gestite da persone, puoi utilizzare i gestori di password come indicato nell ' altra risposta, come Dashlane che supporta la sincronizzazione e la condivisione delle password in modo sicuro. Se cerchi soluzioni gratuite e open source, prova a utilizzare strumenti come KeePass.

#11
-1
Gnomet
2012-06-03 19:17:42 UTC
view on stackexchange narkive permalink

Passpack sembra essere un servizio sviluppato esattamente per questo scopo. Consente di memorizzare la password (e altre informazioni) online in forma crittografata e condividere i diritti sulle password all'interno di un team. Supporta anche l'accesso con un clic tramite lo script dei segnalibri del browser.

Non ho ancora alcuna esperienza di utilizzo. Ma dopo aver fatto una piccola ricerca sull'argomento oggi, Passpack sembra la soluzione che useremo nel nostro team di 7 persone.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...