Best Practice und Lösungen zum Teilen von Passwörtern [geschlossen]

62

Wir haben verschiedene Passwörter, die mehr als einer Person in unserem Unternehmen bekannt sein müssen. Zum Beispiel das Administratorkennwort für unsere Internet-Router, das Kennwort für unseren Webhost und einige Kennwörter, die nicht der IT-Abteilung gehören, wie sichere Codes.

Gegenwärtig verwenden wir ein Ad-hoc- System mit "Standardkennwörtern" für Systeme mit niedrigem Wert und die verbale Weitergabe von Kennwörtern für wichtigere / potenziell schädliche Systeme. Ich denke, die meisten Leute würden zustimmen, dass dies kein gutes System ist.

Was wir möchten, ist eine Softwarelösung zum Speichern von "gemeinsamen" Passwörtern, wobei der Zugriff für jeden auf die Personen beschränkt ist, die ihn tatsächlich benötigen. Im Idealfall werden dadurch regelmäßige Kennwortänderungen veranlasst oder erzwungen. Es sollte auch in der Lage sein anzugeben, wer Zugriff auf ein bestimmtes Passwort hat ( zB wer kennt das Root-Passwort für Server XYZ?)

Können Sie irgendwelche Softwarelösungen zum Speichern und Teilen von Passwörtern vorschlagen ? Gibt es etwas Besonderes, vor dem man vorsichtig sein muss?

Wie ist dies in kleinen und mittleren Unternehmen üblich?

Stewart
quelle
Schauen Sie sich einige der Antworten aus meiner ähnlichen, wenn auch schlecht formulierten Frage an: serverfault.com/questions/3696/…
boflynn
"Können Sie irgendwelche Softwarelösungen zum Speichern und Teilen von Passwörtern vorschlagen?" gehört zum Software Recommendations Stack Exchange .
Cristian Ciupitu,

Antworten:

26

Ich stelle dieses Problem jedes Mal gegenüber, wenn ich zu einem neuen Startup gehe. Als erstes mache ich ein paar "Passwort-Safes" mit einem Programm wie diesem (oder einem seiner Derivate):

http://passwordsafe.sourceforge.net/

Stellen Sie starke Kombinationen ein und werfen Sie sie auf eine Netzwerkfreigabe. Segment nach Verantwortungsbereich ... zentrale Infrastruktur, Produktionsserver, Entwickler / QS, etc.

Sobald es genug Schwung gibt und ich davon ausgehe, dass ich die richtigen Windows-Umgebungsabhängigkeiten habe, möchte ich alle dazu bewegen:

http://www.clickstudios.com.au/passwordstate.html

Es verfügt über Funktionen für gemeinsame und persönliche Anmeldeinformationen.

Adam D'Amico
quelle
Gibt es ein Linux- oder Mac-Programm, das kennwortgeschützte Dateien lesen kann? Es wäre schön, eine gute Lösung für eine Umgebung zu haben, in der Menschen verschiedene Betriebssysteme verwenden. Das Beste, was ich bisher gefunden habe, sind gpg-verschlüsselte Textdateien.
Mark
Ich habe Passwordstate ausgecheckt, aber es scheint im Vergleich zu anderen bezahlten Lösungen ziemlich begrenzt zu sein. Zum einen sind Passwort-Lookups nicht überprüfbar. Dies sollte jedoch in der nächsten Version verfügbar sein.
Sergei
Sieht so aus, als ob Passwordstate jetzt über angemessene Überwachungsfunktionen verfügt. clickstudios.com.au/about/compliance-reporting.html
Nic
13

Nicht zu vergessen ist die Notwendigkeit, Passwörter widerrufen zu können, wenn ein Mitarbeiter entlassen wird. In den populären Medien wurden mehrere Fälle verzeichnet, in denen Mitarbeiter entlassen wurden und mit Passwörtern, die nach dem Verlassen des Unternehmens noch aktiv waren, in ihr Unternehmen zurückkehrten.

Dies sind normalerweise 2 Teile:

  1. Alle Passwörter kennen, die geändert werden müssen (andernfalls verwenden Sie standardmäßig alle Passwörter, die langwierig sind)
  2. Manuelles Ändern oder Automatisieren des Prozesses mit einem Tool oder Skript.

Ein weiterer wichtiger Faktor ist die Einhaltung der Kennwortrichtlinie, wenn die Änderungen vorgenommen werden. Woher wissen Sie beispielsweise, dass dasselbe Kennwort nicht für mehrere Konten verwendet wurde oder dass kein schwaches Kennwort verwendet wurde?

Zweite
quelle
14
Nur als Bemerkung, ich würde dies als Kommentar, aber nicht als Antwort bewerten, da es die Frage nicht anspricht. Immer noch ein guter Punkt.
Kara Marfia
11

Ich arbeite in einem kleinen IT-Shop und wir verwenden Secret Server seit einem Jahr, um unsere Passwörter für unsere Netzwerkgeräte und Kundenanforderungen zu verwalten.

Sie bieten eine "install edition" oder eine online / hosted edition an. Wir verwenden die gehostete Version für weniger als 100 US-Dollar pro Jahr (5 Benutzer) und können über einen Webbrowser sicher von überall auf diese Kennwortinformationen zugreifen. Wenn Sie wirklich Sicherheitsbedenken haben, installieren Sie es auf Ihrem eigenen Server und greifen Sie nur über LAN oder VPN darauf zu.

Außerdem bietet mein bevorzugter "persönlicher" webbasierter Passwort-Manager jetzt eine "Business Edition" - PassPack - an .

Ich bin mir nicht sicher , wie es in diesem Szenario im Vergleich zu Secret Server führt aber entweder Lösung sollte wesentlich vielseitige und sicherer als Papierfetzen, Desktop - Anwendungen oder (sein Keuchen ) an Dinge zu erinnern in Ihrem Kopf. In Bezug auf die "Single Point of Failure" -Problematik ermöglichen beide Produkte einen einfachen Export in CSV.

Matthew Flook
quelle
Secret Server sieht ordentlich aus, ist aber nicht billig!
Toto
4

Ich benutze LastPass jetzt schon eine Weile und liebe es. Ich habe mich im letzten Jahr ein bisschen mit dieser Frage beschäftigt und es hat mir gefallen, wie LastPass es gemacht hat.

  • Alle Informationen werden auf ihrer Site (und in einer lokalen Kopie) in einem verschlüsselten Paket gespeichert, das nur Sie mit dem Kennwort entschlüsseln können
  • Alle Passwörter können geteilt und widerrufen werden. Sie können sie sogar teilen, ohne Zugriff auf das Passwort selbst zu haben (für Web-Logins).
  • Plugins für die wichtigsten Browser
  • Viele andere Funktionen
Daniel Beardsley
quelle
3

Ich stimme Adams Empfehlung von PasswordSafe mit den Daten in einem Netzwerkordner zu. Ich habe zwei Überlegungen in diesem Bereich. Eine ist eine einzelne Version, sodass alle, die die Daten benötigen, die aktuellen Daten erhalten.

1- PasswordSafe verwendet ein standardisiertes Format für die Datei, sodass es andere Lösungen gibt, die diese lesen können, einschließlich KeePass.

2- Legen Sie die Kennwortdatei auf einer sicheren Freigabe ab und führen Sie ein nächtliches Skript aus, das sie an mehrere Speicherorte im Netzwerk kopiert. Kopieren Sie es möglicherweise auf eine Freigabe auf einem anderen Server (nach Möglichkeit außerhalb des Standorts) und auf ein im Server verbleibendes USB-Laufwerk. Sie möchten, dass die Datei an mindestens einem Ort nicht durch ein Kennwort geschützt ist, das sie speichert!

3- Speichern Sie das Installationsprogramm (oder die ausführbare Version des Programms) an den gleichen Stellen wie die Schlüsseldatei, damit Sie bei Bedarf schnell darauf zugreifen können.

4- Lassen Sie die Benutzer die Datei NUR LESEN, es sei denn, sie müssen Änderungen vornehmen.

5- Bei Bedarf können Sie mehrere Kennwortdateien erstellen, eine für die Anmeldeinformationen, die jeder im Team benötigt, und eine für die Anmeldeinformationen für die wirklich vertraulichen Dinge.

Ich würde nicht empfehlen, auf eine webbasierte Lösung umzusteigen. Eine intern gehostete Lösung könnte in Ordnung sein, aber es scheint eine Menge Ärger zu geben. Ich bin auch besorgt darüber, dass es sich um eine einzige Fehlerquelle handelt.

tomjedrz
quelle
2

Ich teile die Verantwortung für einige Systeme mit Mitarbeitern eines meiner Kunden. Wir haben vereinbart, für die am häufigsten verwendeten Konten ein Kennwortschema zu verwenden. Andere Passwörter werden in einer papierbasierten Liste von Paaren (Anzahl, Passwort) gespeichert, die vom IT-Chef des Kunden verwaltet wird. Die Benutzernamen und Hosts werden in einer leicht zugänglichen Datenbank gespeichert. Passwörter werden nur dann ausgegeben, wenn Sie es wissen müssen.

David Schmitt
quelle
2

Übliche Praxis in kleinen und mittleren Unternehmen:

An drei Stellen, an denen ich gearbeitet habe, wurden separate Dokumente verwendet, um Kennwörter für verschiedene Systeme anzugeben. Ein Dokument für die Router und Firewalls, ein anderes für den Zugriff auf die Server und ein Dokument für Entwickler (z. B. Anmeldedaten für Datenbankverbindungen). Der Zugriff auf Anwendungen wird in der Regel nicht dokumentiert (ich gehe davon aus, dass Sie sich für die meisten Benutzer mit Administratorrechten anmelden).

Der Netzwerkadministrator sieht nur das Routerkennwortdokument, und die Personen, die Zugriff auf dieses Dokument haben, werden in dieser Datei aufgelistet. Ihre Beschäftigungsbedingungen besagen, dass Logins und Passwörter, auf die sie Zugriff haben, privat sind und nicht mit anderen geteilt werden dürfen. Ähnliches gilt für den Systemadministrator und die Entwickler.

In der Realität wird manchmal das Passwort geteilt, aber Sie können identifizieren, wer es wissen muss (und warum) und ändern, was geändert werden muss. In einem (Software-) Unternehmen mit 50 Mitarbeitern hat es gut funktioniert.

Dan
quelle
2

Bei selten verwendeten Passwörtern wie lokalen Administratorkonten auf Servern, Router- und Firewall-Passwörtern und ähnlichem bei meinem letzten Auftrag, einem Geschäft von ungefähr 50, kannte nur der Systemadministrator die Passwörter tatsächlich. Sie waren auf ein Stück Papier in einem Umschlag geschrieben. Ich glaube, es gab drei Umschläge, die vom Chef, dem SysAdmin und dem Chefprogrammierer versiegelt und signiert wurden. Jede Person hatte eine Kopie der Dokumente. Für den Fall, dass die Passwörter verwendet wurden, haben wir sie geändert und neue Umschläge erstellt.

In meinem derzeitigen Job haben wir in einer viel größeren Organisation allein 15 Sysadmins und ein paar tausend Benutzer eine Methode zum Berechnen von Kennwörtern basierend auf einem Servernamen. Dies schließt ein bekanntes Präfix und eine Hash-Methode ein, die auf Papier einfach genug ist. Wenn Passwörter geändert werden müssen, weil jemand geht oder so, ändern wir das Präfix oder den Hash oder beides. Auf diese Weise kann ich, obwohl ich das Passwort nicht für jede Maschine oder jedes Gerät in meiner Umgebung kenne, es berechnen, wenn ich es aus irgendeinem Grund benötige.

Laura Thomas
quelle
Gute Idee, können Sie bitte ein Beispiel für eine so einfach zu berechnende Hash-Methode angeben?
Aleksandar Ivanisevic
Sie könnten ROT, auch bekannt als Cesar-Chiffre, verwenden, aber eine zufällig ausgewählte Zahl zwischen 1 und 26 für den Versatz. Wenn Ihr Server beispielsweise fileserver2 heißt und das Präfix Le84D und der Offset 18 ist, lautet das Kennwort Le84Dxadwkwjnwj20
Laura Thomas,
1

Ich hatte schon einmal das gleiche Problem. Am Ende baute ich ein System, um das selbst zu handhaben. Der Benutzername und das Kennwort wurden in einer stark verschlüsselten Form in einer Datenbank mit einem Webinterface gespeichert, über das Sie die Kontoinformationen eingeben und die Sicherheit so einstellen können, dass nur die richtigen Personen oder Gruppen auf die Daten zugreifen können.

Es wurde nicht abgefragt, wann es Zeit war, die Kennwörter zu ändern, da Dienste auf Dutzenden von Servern dieselbe Anmeldung verwendeten und Änderungen an Kennwörtern frühzeitig eingerichtet werden mussten.

Ich habe es mit einer vollständigen Überwachungsfunktion erstellt, sodass jedes Mal, wenn ein Mitarbeiter eine Anmeldung ansah, diese protokolliert wurde, damit wir das Überwachungsprotokoll für die SOX-Prüfer in Excel sichern konnten.

mrdenny
quelle
1

Verwenden Sie GPG mit der Option Symmetrisch, um eine Textdatei mit allen darin enthaltenen Kennwörtern zu verschlüsseln. Dann müssen Sie nur noch die Passphrase für andere Administratoren bereitstellen. Wenn ein Administrator das Unternehmen verlässt, verschlüsseln Sie die Textdatei einfach mit einer neuen Passphrase.

Dereck Martin
quelle
... und alle darin enthaltenen Passwörter ändern, oder?
Ingmar Hupp
1

Centrify hat für mich gearbeitet.

Bob
quelle
1

Wow, guter Thread! Niemand hat meine bevorzugte Lösung erwähnt (außer im Vorbeigehen), also werde ich KeePass einen Gruß aussprechen. Schön erweiterbar, mit Passwort-, Schlüssel- oder AD-basierter Authentifizierung. Macht den Job gut für uns.

RainyRat
quelle
1
KeePassX für eine plattformübergreifende Version ( keepassx.org )
Ingmar Hupp
1

Für den Zugriff auf Server:

Stellen Sie den Zugriff auf einen Server bereit und verwenden Sie ihn als Jumpbox und verwalten Sie die Konten in der Jumpbox. Jeder, von dem angenommen wird, dass er der Jumpbox vertraut, ist der Remote-Ressource vertraut. Auf diese Weise hat jeder sein eigenes Passwort und das Passwort auf dem Server für das jeweilige Konto kann geheim gehalten werden.

Um auf andere Ressourcen zuzugreifen:

Beschränken Sie den Zugang nur auf das erforderliche Personal. Stellen Sie sicher, dass Sie eine Liste vertrauenswürdiger Benutzer verwalten. Ändern Sie das Passwort alle 90 Tage und aktualisieren Sie die Liste der vertrauenswürdigen Benutzer. Machen Sie die anstehenden Änderungen 15, 7 und 1 Tag im Voraus bekannt. Verteilen Sie das Kennwort nur an Manager und lassen Sie diese bestimmen, wer Zugriff benötigt. Verwenden Sie Dienstprogramme, um den Zugriff zu protokollieren und Benutzer regelmäßig darüber zu informieren, dass es sich um genau überwachte Systeme handelt. Jedes lustige Geschäft auf den Servern sollte ein bekanntes kündbares Vergehen sein.

Ojblass
quelle
0

Ich weiß, dass dies nicht genau die Antwort ist, die Sie möchten, aber an meinem Arbeitsplatz erhalten vertrauenswürdige Mitarbeiter die entsprechenden Passwörter, die nicht von Geräten gemeinsam genutzt und nicht aufgeschrieben werden. Das System funktioniert in der Regel recht gut, da die Verwaltung der Geräte in der Regel nur von wenigen Mitarbeitern durchgeführt wird. Wir haben auch eine sehr gute Mitarbeiterbindung, sodass über einen langen Zeitraum hinweg Vertrauen aufgebaut werden kann.

PixelSmack
quelle
0

Möglicherweise möchten Sie eine Art Kennwortverwaltungssoftware verwenden. Auf diese Weise können Sie autorisierten Benutzern einen eigenen Zugriff darauf gewähren und sicherstellen, dass die Informationen nicht von Personen weitergegeben werden, die Notizen hinterlassen. Ein guter Benutzer zeigt wahrscheinlich nicht einmal das Passwort an, sondern legt es zum Ausschneiden und Einfügen in der Zwischenablage ab.

user2278
quelle
0

Wir haben ein System wie der Präsident und die Bombe - zwei Personen kennen jeweils die Hälfte des Passworts. Auf diese Weise wird es nie zu einer Situation kommen, in der ein einzelner betrügerischer Administrator nicht genehmigte Änderungen selbst vornimmt.

Maximus Minimus
quelle
Interessant ... aber nicht sehr praktisch für die PIN für die Firmenkreditkarte ;-)
Stewart
Das ist ziemlich interessant. Es gibt viele Fälle, in denen mein Kollege (mit der anderen Hälfte des Pw) und ich nicht zusammen sind ... aber ich mag diese Idee.
Cop1152
1
Jetzt haben Sie einen einzelnen Fehlerpunkt in einen doppelten Fehlerpunkt umgewandelt. Dies verdoppelt die Wahrscheinlichkeit, dass das Passwort verloren geht. Außerdem ist es völlig unpraktisch - ich würde nie etwas tun können, wenn ich nur die Hälfte jedes Administratorkennworts kennen würde.
Aaron Brown
Ich hoffe, Sie meinen nicht, dass Sie generische Administratorkonten verwenden ... kein Audit-Trail.
Maximus Minimus
0

Ich arbeite in einem IT-Unternehmen, wir haben viele Kunden, normalerweise lösen wir das Problem aus der Ferne. Wir verwenden ssh, um uns zur Problembehandlung anzumelden. Wir haben eine Maschine ssh-Schlüssel zu allen unseren Klientenmaschinen hinzugefügt, damit es zu anderen hilfreich ist, sich anzumelden und die Probleme zu beheben, wenn ich nicht dort bin gesichert. Wenn Sie gute Passwörter haben möchten, verwenden Sie besser Zahlen und Sonderzeichen.

So fügen Sie SSH-Schlüssel hinzu:

1.ssh-keygen -t dsa (Um SSH-Schlüssel in .ssh / id_dsa.pub abzurufen

  1. scp .ssh / id_dsa.pub root @ remote: ~ / tmp

  2. Auf dem Remote-Computer

cat >> /tmp/id_dsa.pub .ssh / authorized_keys2

Versuchen Sie sich anzumelden, um macine von einer anderen Konsole zu entfernen ... :) happy sshhhhhh

Raupe
quelle
-1

Verweigern Sie die Verwendung von Systemen, für die ein Kennwort erforderlich ist. Jeder Server muss sich mit SSH-Schlüsseln authentifizieren, jede Website mit OpenID. Führen Sie einen OpenID-Provider in der Firewall aus.

Dieses Szenario impliziert natürlich, dass alle Ihre Systeme über SSH oder HTTP erreichbar sind, aber es funktioniert für uns.

Jim Puls
quelle
Ich verstehe nicht, wie das bei Routern, Sicherheitscodes, Kreditkarten-PINs usw. funktioniert.
Stewart
"Verweigern Sie die Verwendung von Systemen, die ein Passwort erfordern" - es gibt Dinge wie die PTB, so dass "Verweigern" nicht immer funktioniert ...
Sergei