Was sind bewährte Methoden zum Teilen von Hunderten von Kennwörtern mit einigen wenigen Personen? Diese Passwörter schützen geschäftskritische Daten und können nur von einem kleinen Team angezeigt werden.
password-management
Chris Henry
quelle
quelle
Antworten:
Ich würde wahrscheinlich eine benutzerdefinierte webbasierte Lösung schreiben, die in einem Unternehmensintranet gehostet wird. ( Besuchen Sie http://lastpass.com, um sich inspirieren zu lassen oder um es zu verwenden. Das Teilen von Passwörtern ist eine der Funktionen des Programms, funktioniert jedoch möglicherweise nicht für Ihr Volume.)
EDIT : Sicher, beste Lösung, teile sie nicht. Das Speichern von Klartextkennwörtern auf einem beliebigen Medium ist gefährlich, insbesondere wenn der Zweck des Speicherns darin besteht, sie weiterzugeben. Es gibt nahezu unendlich viele Lösungen, von denen jede eine Gefahr mit sich bringt. Legen Sie sie auf ein verschlüsseltes Image, brennen Sie das Image auf eine einzelne CD, verwahren Sie die CD in einem Safe, den nur ein bewaffneter Wachmann öffnen kann, und lassen Sie sich von autorisierten Personen einen Lichtbildausweis vorlegen, um ihn entsperren zu lassen.
Der Punkt ist, dass wir Ihr Szenario nicht wirklich kennen. Warum teilen Sie Hunderte von geschäftskritischen Passwörtern? Sind sie für Ihr Backoffice-Intranet, VPN oder Kundenpasswörter, die Sie aus irgendeinem Grund im Klartext aufbewahren? Sind alle Personen, mit denen Sie es teilen müssen, in derselben Installation? Funktioniert eine physische Übertragung wie eine verschlüsselte CD oder eine gedruckte Tabelle, die in einem Safe gespeichert ist? Oder sind Ihre Systemadministratoren auf der ganzen Welt verteilt und stellen die einzige Lösung dar , um sie auf elektronischem Wege zu teilen ?
quelle
Es wird empfohlen, die Kennwörter nicht weiterzugeben. Verwenden Sie Tools wie sudo, um den Benutzern den Zugriff zu ermöglichen, den sie von ihrem eigenen Konto benötigen. Wenn Sie nur wenige Benutzer haben, sollte jeder bei Bedarf über ein eigenes Konto verfügen. LDAP (Unix / Linux) und Active Directory sind eine gute Lösung, um Zugriff auf mehrere Server aus einer gemeinsamen Datenbank zu gewähren.
Wenn eine schriftliche Kopie eines Passworts erforderlich ist, versiegeln Sie es in einem Umschlag, der auf dem Siegel signiert und datiert ist. Ändern Sie das Passwort, wenn es verwendet wird. Wenn das Passwort geändert wird, versiegeln Sie es in einem neuen Umschlag.
Verwenden Sie für Kennwörter, die wirklich freigegeben werden müssen, eines der Kennworttools wie Keepass, dessen Datenbank sich in einem Netzwerk befinden kann. Tools mit Clients für mehrere Plattformen sind besser. Überlegen Sie, ob Sie mehr als eine Datenbank benötigen. Denken Sie daran, dass Sie wirklich jedem vertrauen müssen, der Zugriff auf diese Daten hat.
quelle
Genau zu diesem Zweck haben wir uns für KeePass entschieden . Es ist ein tolles kleines Programm, das alle Ihre Passwörter in einer verschlüsselten Datenbankdatei speichert. Es gibt zusätzliche Sicherheitsfunktionen, z. B. die Notwendigkeit einer Schlüsseldatei zusammen mit dem Hauptkennwort, um auf die Kennwörter zuzugreifen. Dies ermöglicht mehrere Sicherheitsebenen (trennen Sie die Schlüsseldatei und die Datenbank), während es für alle Benutzer bequem ist, mit den verschiedenen Kennwörtern zu arbeiten. Beispielsweise können Sie die App und die Schlüsseldatei von einem USB-Laufwerk ausführen, die Datenbank jedoch irgendwo in Ihrem Netzwerk speichern. Hierfür sind Anmeldeinformationen für die Netzwerkfreigabe, das Hauptkennwort und das physische USB-Laufwerk mit der Schlüsseldatei erforderlich.
quelle
Ganz einfach, das gibt es in zwei Varianten:
Sie nicht, schlicht und einfach. Wenn Sie sich dazu entscheiden, verschieben Sie die Kennwortauthentifizierung an eine externe vertrauenswürdige Stelle und steuern die Authentifizierung von dort aus.
Dabei verfügen Sie jedoch über externe Zugriffskontrollen mit Kennwörtern oder Sicherheitstoken, die nicht in dem von Ihnen verwendeten System aufgezeichnet sind (dh, die Aufzeichnung von Kennwörtern wird durch ein anderes Kennwort geschützt, das nur begrenzt verfügbar ist). Hier gibt es zahlreiche Probleme.
Sie sollten einen sicheren Authentifizierungsdienst in Betracht ziehen, der in einen Verzeichnisdienst integriert ist, um das Problem zu beheben. Die DS / AS-Kombination erstellt eine vertrauenswürdige "Autorität", die als Vermittler für alle Ihre Benutzer und Geräte fungieren kann. Bei Benutzerkonten kann der Zugriff vom eigentlichen Kennwort für die Authentifizierung abweichen, sodass Kennwörter einfach von der Zugriffsrichtlinie "getrennt" werden können. Die Kontrolle der Passwörter erfolgt durch Deaktivierung des Benutzerkontos. Wenn ein Administrator das Unternehmen verlässt, wird sein Konto einfach geschlossen, und sein Zugriff ist nicht mehr möglich (da das Kennwort dieser Person den Zugriff nur auf der Grundlage der Gültigkeit des DS / AS gewährt, der die Gültigkeit des Kontos bestätigt).
Dies funktioniert nur, wenn Sie sich in einer Umgebung befinden, in der Ihre Geräte / Programme ihre Authentifizierungsanforderungen an externe Quellen weiterleiten können. Daher ist dies möglicherweise keine Lösung für Sie . Wenn Sie einen erheblichen Prozentsatz an Geräten / Programmen haben, die externe Authentifizierung unterstützen, würde ich dies tun, um nur einige hundert Kennwörter auf eine überschaubare Liste von beispielsweise einem Dutzend zusammenzufassen. Wenn Sie sich für diesen Weg entscheiden, gibt es verschiedene, bekannte und erprobte Lösungen von der Stange.
Es ist auch eine Frage, wie viel Sicherheit Sie benötigen. Sie haben nicht angegeben, ob mit "missionskritisch" gemeint ist, dass nukleare Sprengköpfe auf Städte niederprasseln könnten, oder ob "missionskritisch" bedeutet, dass die neueste Lieferung von Furbies nicht in die Stadt gelangt. Es wäre wirklich hilfreich, wenn es etwas gäbe, das eine Risiko- / Bedrohungsbewertung beschreibt.
quelle
Ein paar Dinge:
Sie müssen auch über die mechanischen Sicherheitsmaßnahmen hinausgehen, die erforderlich sind, um Papierkennwörter in einem Safe abzulegen oder die Kennwörter zu verschlüsseln. Lesen Sie, wie Unternehmen mit ausgereiften Sicherheitsmodellen Schlüssel und sichere Kombinationen sichern. Ich empfehle nicht, das zu tun, was Sie tun möchten, aber wenn Sie es tun:
Verfahren wie dieses sind schmerzhaft im Nacken, werden aber als Anreiz für Menschen dienen, vernünftigere Praktiken anzuwenden. Wenn Sie nicht das tun, was ich beschrieben habe, müssen Sie sich nicht die Mühe machen, die Passwörter abzusperren, da Sie sowieso nur eines Tages verletzt werden.
quelle
Ich weiß, dass dies eine alte Frage ist, aber ich bin erst kürzlich auf eine webbasierte Open Source-Lösung namens Corporate Vault gestoßen , die für manche interessant sein könnte. Ich hatte noch keine Gelegenheit, es auszuprobieren.
quelle
Wir verwenden ein Programm namens Password Safe . Es ist schön und sehr sicher. Sie können die Datenbank auf einem Netzwerklaufwerk einrichten und jedem, der Zugriff darauf benötigt, und das Kennwort für den Safe selbst zuweisen, in dem dann alle Benutzernamen und Kennwörter sicher verschlüsselt gespeichert werden.
quelle
https://pypi.python.org/pypi/django-pstore/ verwendet die GPG-Verschlüsselung pro Benutzer für freigegebene Kennwörter (und alle anderen Daten, die Sie möglicherweise freigeben möchten). Der Server kennt keine Passwörter, er speichert nur die verschlüsselten Daten. Jeder verwendet seinen eigenen privaten Schlüssel, um die freigegebenen Geheimnisse zu entschlüsseln.
Das System umfasst eine Rechteverwaltung: Nicht jeder erhält vollständigen Zugriff.
quelle
Wir verwenden https://passwork.me als selbst gehostete Lösung. Sie können Kennwörter aber auch in der Cloud speichern.
quelle
SPB Wallet ist eine gute Lösung, mit der wir PW safe by ghost verwendet haben. Mit SPB Wallet können Sie jedoch sowohl eine Netzwerkfreigabe als auch ein iPhone synchronisieren, wenn Sie die App erhalten. Es hat auch einen eingebauten Passwortgenerator und Sie können sie von einfachen Passwörtern bis zu extrem komplexen Passwörtern generieren. Sie können das Passwort auch kopieren, während das Passwort mit einem Sternchen versehen ist. Wenn also jemand auf der Suche ist, können Sie es kopieren und einfügen, ohne dass jemand das Passwort sieht. Die PC-App wird automatisch gesperrt, sobald für einen festgelegten Zeitraum keine Aktivität erfolgt.
quelle
Eine weitere Option ist Azure Key Vault, in dem Ihre Geheimnisse sicher gespeichert werden und Sie programmgesteuert auf sie zugreifen können, Ihre Kennwörter einfach drehen können usw. Keine schöne Benutzeroberfläche dafür, aber wenn Sie mit dem Befehlszeilenzugriff zufrieden sind, ist dies gut.
quelle
Wir empfehlen, so wenig Passwörter wie möglich mit anderen zu teilen.
Daher haben wir zum Beispiel: - Verwenden Sie my.cnf im Stammverzeichnis für Kennwörter zur Datenbank. - Verwenden Sie ssh-Schlüssel, um sich bei Servern anzumelden, und haben Sie ein Root-Kennwort, das nur über die Konsole zulässig ist. Sie müssen also physischen / bmc-Zugriff auf den Server haben ) - benutze ldap überall (ssh, bmc, switch, redmine, ....)
Es gibt jedoch nur wenige Situationen, in denen wir diesen Ansatz nicht anwenden können (z. B. root-Passwort). Dann verwenden wir keepass auf unserem gemeinsam genutzten Speicher, aber wir behalten dort so wenig wie 10 Passwörter, die benötigt werden.
quelle
Sehr gute frage Ich würde mich für andere Antworten interessieren.
Hier ist, was ich tue, aber zuerst empfehle ich, Pre-Shared Keys zu verwenden, wo dies möglich ist. Ich weiß jedoch nicht, ob dies mit Windows-Systemen möglich ist.
Da die Anzahl der Passwörter gering sein sollte (Sie verwenden nach Möglichkeit Schlüssel), verwende ich eine mit gpg verschlüsselte Nur-Text-Datei auf einem System ohne Netzwerkkarte. Also (1) benötigen Sie einen physischen Zugang und (2) ein Passwort.
der Übersichtlichkeit halber bearbeitet
quelle