为了维护应用程序密码，我遇到了一个名为CorporateVault的开源工具。它是一个多用户密码管理 Web 应用程序，专为组织存储密码而设计。用 Grails、Groovy 和 Java 编写。

它是用于管理密码的好工具

因此，就标准而言，您拥有所有系统的所有凭据这一事实已经是一个巨大的危险信号（除非您是团队中唯一的人）。现在我知道它是一家初创公司，但只是随着公司的发展而提及它。继续前进，应该有一个管理员（每个系统的不同人员）拥有该特定系统的凭据，以及一个能够在违反/丢失的情况下恢复/重置该密码的单独人员密码。将这些人分开并强制执行密码和职位轮换非常重要。所以这个季度我是一名软件工程师，下个季度我是一名 DBA，等等。每次都强制更改管理员密码。

基本上，您想要的是明确划分负责管理系统的每个人的职责，这也将有助于减轻内部威胁的概念（不能完全消除，但可以更好地“跟踪”）。这种类型的事情通常在必须有牙齿的政策中列出（可执行并产生包括终止在内的影响）。

如果问题是如何以安全的方式管理这些密码，在硬件存储方面让我知道，我会努力回答这个问题。

编辑

另一种可能的解决方案是每天生成一个随机管理员密码，并通过加密电子邮件将其分发给适当的人，这也将减少系统对内部人员和外部人员的暴露。

在我工作过的公司中，他们允许我访问一个网站，我可以使用我的 Active Directory 密码登录并请求任何服务器的密码。如果该服务器的登录被清除，我会看到纯文本密码，否则我会收到未经授权的错误消息。

您也可以使用一些第三方密码管理软件，快速谷歌搜索将返回结果，如KeePass。

一种方法是写下所有密码并将它们存储在物理保险箱中。如果您有管理员或帐户人员，他们是管理这些的不错选择。如果您被公共汽车碾过，他们可以将密码提供给您的替代者。考虑到您作为初创公司创始人的地位，另一种可能性是将这些交给您的律师或会计师，或者可能是您的妻子。

您专门询问标准。ISO 27002 将是我寻找这方面信息的第一个地方。我只是快速浏览了一下，找不到任何具体的东西。一个考虑因素是个人责任。您应该创建具有相同权限（和不同密码）的单独帐户，而不是向某人提供您的密码 - 并确保这些第二个帐户的安全。

这种方法的一个风险是你完全信任某人。您的妻子或会计师可以完全控制您的服务器。对此有一种技术解决方案，称为秘密共享。例如，您可以将秘密的一部分提供给三个人，并将其安排好，以便他们中的任何两个人可以结合他们的秘密来恢复密码。但是，这可能更多的是技术上的好奇心，而不是您真正想要使用的系统。