正如标题所说,我的公司有一项政策,例如我们的工作站和服务器登录名的所有密码都必须存储在在线保险箱中。我不会说是哪一个,但有一些你可以期待密码痛苦的终结。然后将这些密码与公司管理层共享——我不知道那个位是如何工作的,但他们也可以读取密码。
这真的那么安全吗?我的老板给了我两个理由:
我不同意这些。对于第一个,对于我们使用的大多数东西,例如 Google Apps,肯定有更好的方法 - 例如,管理员有一个重置按钮。对于第二个,我无论如何都可以更改我的密码,而不是更新密码保险箱。
所以我说这不安全是对的吗?或者这是唯一的方法?
您给出的所有理由都不是托管密码的正当理由。托管任何类型的“身份验证器”信息只有几个正当理由。其他几个人已经谈到了这些,但我会尝试澄清一下。
加密密钥: 组织有权访问加密密钥的托管副本是绝对有意义的。毕竟,您加密的数据(当然,前提是您仅将公司的加密用于工作目的)最终还是他们的数据。因此,如果您丢失密钥或与公司分离,他们需要保留对该数据的访问权限。但是,加密密钥不应与您用于数字签名的密钥相同。此外,他们不应实际访问您的身份验证器- 您用于密钥的密码。相反,他们应该拥有自己的托管密钥,与他们的身份验证器一起解密您的数据。
故障安全帐户: 如果系统管理员自己的帐户被锁定,或者他们离开公司,组织应该拥有访问管理员级别帐户所需的凭据的备份副本也是有意义的。但是,凭据不应用于系统管理员自己的帐户。它们应该用于本地系统帐户,其唯一目的是用于紧急使用。为此,该帐户也不应用于非紧急情况,应密切监测和提醒其使用情况。传统上,此类帐户的凭据被密封在防篡改信封中,并存储在安全的物理保险库中。可以想象,可能会有数字等价物,但我个人不会相信那些没有经过彻底审查的人。
管理层拥有您的密码是一个坏主意,有两个重要原因。第一个原因可能对您非常不利,因为如果出现问题,它最终可能会给您带来不必要的工作。然而,第二个实际上扭转了这种情况,如果事情真的出错了,对公司来说可能比对你更糟。
滥用 的可能性:显而易见——经理现在可以不受限制地访问系统,无论他们是否应该拥有与您相同的权限。最简单地说,这意味着管理人员可以利用这一点在系统上做他们原本不应该做的事情。这也使他们有可能在不遵循标准程序的情况下,在他们想要匆忙进行特定更改时绕过您的位置。
不可否认性丢失: 一旦其他人拥有您的凭据 - 尤其是在这种可以证明他们拥有的情况下 - 他们可以在这些凭据有效的任何系统上冒充您。这使得很难明确证明您的帐户采取的任何行动都是您实际采取的。如果经理确实决定使用您的帐户,并最终彻底搞砸了系统,那么即使您的帐户在日志中,将您用作替罪羊也不是一件容易的事。对公司来说更糟糕的是,如果你在你的经理知道你的密码的情况下做了一些事情来彻底破坏系统,他们将很难证明实际上是你做的。
TL;DR:我认为管理层没有充分的理由拥有您的任何密码。至于他们给出的理由:
第一个原因(在您忘记密码的情况下还给您)非常弱:如果您忘记了密码,那么这不是一个好的密码,让您通过选择一个新密码来重置它会更有意义。第二个原因完全是假的:如果他们在不知道您的密码的情况下无法“锁定您”,那么他们应该尽快解雇他们的系统管理员。他不知道如何右键单击。
最有可能的是,您的经理想要有一种掌控感,并在非常近距离的范围内进行实际管理。可能他们只是想阻止员工使用脏话作为密码,因为这可能会在某个地方冒犯某些神灵。无论哪种方式,这都不能以非常积极的方式突出提出该安全策略的人的能力。
编辑:不过,该策略对用于加密的密码有某种意义,例如,当您使用密码保护 Zip 存档时。这种密码无法重置,丢失密码(您忘记密码,或者由于被公共汽车撞到而变得“不可用”)意味着丢失数据。在这种情况下,托管密码是有意义的。但是对于身份验证密码,不,这是一个愚蠢的策略。
不,这不是一个好主意。Thomas 解释了为什么它没有实现自己的目标,但情况比这更糟。
考虑当流氓员工行为不端对公司造成损害时会发生什么。
在审判期间,您被传唤作证有关日志显示造成损害的是员工,并被询问还有谁可以作为该员工登录。您如实回答说,任何有权访问保险箱的人(包括所有管理人员)都可以作为该员工登录,而您的日志系统也不会更明智。
任何模糊参与者和身份验证凭据之间区别的东西都会严重破坏公司使用访问日志来阻止不当行为或补偿损失的能力。
当 IBAC 系统无法明确处理委派时,经理经常将密码分发给下属,但情况正好相反,模糊会影响更大的低级别员工群体的凭据。
同意@Thomas Pornin 关于“总线因素”的观点,但还有一件事需要考虑:“在线保险箱”可能根本不安全。将密码以书面形式放入单个物理保险库并保存在那里是有意义的,以便在紧急情况下可以在管理层的明确授权下打开保险库。