组织内的密码管理

信息安全 密码 密码管理
2021-08-29 22:48:31

在一个组织内,有许多密码需要跟踪,例如服务器上的根帐户、主机帐户、路由器登录和其他类似的东西。

我知道在某些组织中,IT 负责人只知道这些密码,密码写在某个地方,存储在登录后的 wiki 上,或者密码存储在服务器上的文件中(可能是加密的)。

我的问题只是管理这些密码和以安全方式存储密码的最有效方法是什么。我知道这个话题之前已经讨论过这里的家庭用户,但我特别感兴趣的是为大中型企业解决这个问题的最佳方式。我也很想知道其他人的组织中使用了什么方法,即使它不是最有效的。

4个回答

尽管我已经看到了解决这个问题的许多实现,但我相信最完整的,如果不是最方便的话,是一个仅限超级用户的 Git 存储库,仅包含按环境的密码的加密文本文件。管理设备、混合服务器和调制解调器等专用设备上的密码轮换是单独处理的。

该解决方案极大地简化了新密码的分发,因为用户只需执行简单的更新即可接收密码的最新版本,并提供以前密码的可追溯历史记录以保存记录。

我记得这些文件是 GPG 加密的,但是有许多解决方案和可行的方法来处理文件本身。

这种方法的明显缺点是,特别是当密码已更改时,您正在解密一个或多个文件以搜索所需的密码。当然,与任何事情一样,您使用密码的频率越高,您就越有可能记住它,并且根据所讨论的设备,访问可能是一个不常见的事件,不会因为必须经历而受到很大阻碍获得适当密码的过程稍长一些。

如果您也对在服务器和/或其他设备上生成和/或更改密码的策略和/或脚本感兴趣,我也很乐意分享我使用的那些。

--

我很乐意。

我假设您熟悉文件加密、PGP 或其他。如果这是错误的,请随时询问,我很乐意提供一些示例。

设置 Git 存储库相对简单,并且与您可能遇到的大多数内容管理解决方案都有相似之处。Git 的一个注意事项:按照设计,它是完全开放的,因此需要额外的步骤来限制对特定文件或存储库的访问。这可以通过利用文件系统 acl(只是一种可能的解决方案)相对简单地完成。话虽如此,我当然会建议您使用您熟悉的解决方案,特别是如果您的组织已经在使用替代的内容管理解决方案。

根据定义,文件将表示将设备标识符(例如主机名)与密码以及可能与用户名相关联的密码数据库。例如:router-1.internetdomainwebsite.com administrator soopersekretpasswerd理想情况下,您永远不会存储未加密的文件,但是,遵循此策略确实会使检索密码相对不方便。出于这个原因,我建议编写一个访问器脚本以在您的加密框架内工作,也许将标识符作为搜索词并仅将请求的密码写入文件以供请求者一次性使用。

任何支持密码更改的设备都可以编写脚本。由于大多数设备都支持从 CLI 更改密码,因此我建议您查看一下 Expect 语言和/或其用于 Perl、Python 或您选择的语言的库。我个人使用的脚本接受所需的用户名,接受当前密码,接受并验证所需的密码,然后在提示时更改并验证所有传递或提供的主机上的更改。它相当简单的 Perl 和 Expect。

我经营一家数字机构,我们经常需要管理一系列密码并在我们的开发人员/经理等团队之间共享它们。所以一直在研究管理它的最佳方法。(我们之前使用通过 Dropbox 同步的 KeePass,但它变得难以管理。)

我们决定采用云/托管解决方案,当我们不在办公室时,可以从我们的计算机和移动设备访问该解决方案。

这些是我们的候选名单中的一些选项:

  • LastPass
    个人条目可以与免费帐户共享,但需要高级帐户(12 美元/年)才能共享单个文件夹,或企业帐户(24 美元/年)才能共享多个文件夹。

  • 1Password
    每位用户每月 3-8 美元,具体取决于计划

  • Passpack
    1 位用户免费,3 位用户每年 18 美元,15 位用户每年 48 美元。
    不幸的是,用户界面没有想象中那么友好,但显然应该在 2014 年进行重新设计。

  • Dashlane
    免费基本帐户,或 40 美元/用户/月,可跨设备同步并共享 5 个以上的项目。

    请参阅:Dashlane 的安全性分析

  • 3 人团队的CommonKey
    免费,或 20 美元/月 + 2 美元/用户/月的公司/企业功能。

  • Mitro
    Free,用户界面很棒,但功能很少。

  • Meldium(现在归 LogMeIn 所有)
    20 位用户每月 29 美元起。

  • RoboForm Enterprise
    每个许可证 37.95 美元,一次性。

我无法评论它们每个人的安全性,但现在大多数(谢天谢地!)在客户端执行加密,因此即使开发人员和公司管理员也无法访问您的密码。

LastPass 似乎满足了我们的大部分需求,所以我们目前正在试用它。我们最初向我们推荐了 Passpack,但发现界面非常笨拙,并且拒绝导入包含几百个帐户的 KeePass 文件。

如果您对此列表有更多详细信息或任何有价值的补充,请发表评论,我会尝试更新它。

另请参阅:LastPass 等密码管理器的安全性如何?

根据您的评论,您正在谈论坚持共享用户/单用户模式的系统和设备:

首先,尽量避免/尽量减少这种情况。

其次,尽量避免和减少这种情况。

第三,在评估产品/服务时,这绝对应该是一个考虑因素——如果它具有这种固有的不安全感,你可能根本不想要它。那里可能还有其他问题...

第四,与供应商/提供商再次核对,看看是否有安全配置的方法。

第五,考虑构建一个瘦“代理”类型的应用程序,它会强制执行用户身份验证,然后为设备使用自己的单一帐户,并使用自己的内部随机密码。

第六 - 如果上面的 aaaalll 不相关/不起作用(严重吗??) - 我见过有 ACL 加密文件夹的地方 - 或者更好的是,密码安全 - 仅授予管理员访问权限,并存储在其中file/s 与随机生成的密码。
根据您的文化/组织类型,最好打印出密码并将其存储在 ACTUAL 保险箱中,由您的安全人员保护,并且仅提供给管理员的组合......

密码是问题,而不是解决方案。一般问题是安全身份验证和授权,通常被视为“身份管理”的一部分。

LDAP 或 Kerberos/AD 可用于集中身份验证并保持密码同步。使用 SSH 和公钥/私钥身份验证是另一个不错的选择。

最现代的方法是以更通用和方便的方式解决该问题,这也有助于人们从密码转向安全令牌或其他更强大的身份验证方式。允许人们进行一次身份验证然后利用该身份验证来授权访问其他服务的单点登录系统是一种常见的解决方案。

这样做的技术方法包括 OAuth、SAML、Shibboleth 和 InfoCard。

其它你可能感兴趣的问题
上一篇安全地删除 Java 对象 下一篇使用 SSL over IPSec 有什么理由吗?