Vraag Beste praktijken en oplossingen voor het delen van wachtwoorden [gesloten]


We hebben verschillende wachtwoorden die bij meer dan één persoon in ons bedrijf bekend moeten zijn. Bijvoorbeeld het admin-wachtwoord voor onze internetrouters, het wachtwoord voor onze webhost en ook enkele 'niet-IT'-wachtwoorden zoals veilige codes.

Momenteel gebruiken we een AD hoc systeem van "standaardwachtwoorden" voor laagwaardige systemen en verbale uitwisseling van wachtwoorden voor belangrijkere / potentieel schadelijke systemen. Ik denk dat de meeste mensen het erover eens zijn dat dit geen goed systeem is.

Wat we graag willen is een software-oplossing voor het opslaan van "gedeelde" wachtwoorden, met toegang voor elk beperkt tot de mensen die het echt nodig hebben. Idealiter zou dit periodieke wachtwoordwijzigingen vragen of afdwingen. Het moet ook in staat zijn om aan te geven wie toegang heeft tot een bepaald wachtwoord (bijv., wie kent het root-wachtwoord voor server XYZ?)

Kunt u suggesties doen voor software-oplossingen voor opslag? en delen wachtwoorden?  Is er iets speciaals om op te passen?

Wat is de gebruikelijke praktijk in kleine en middelgrote bedrijven hiervoor?


61
2018-05-20 10:12


oorsprong


Bekijk enkele van de antwoorden op mijn soortgelijke, zij het slecht geformuleerde vraag: serverfault.com/questions/3696/... - boflynn
"Kunt u software-oplossingen voorstellen voor het opslaan en delen van wachtwoorden?" behoort tot de Software aanbevelingen Stack Exchange. - Cristian Ciupitu


antwoorden:


Ik zie dit probleem elke keer dat ik naar een nieuwe startup ga. Het eerste dat ik doe, is een paar "wachtwoordkluizen" maken met een programma zoals dit (of een van zijn derivaten):

http://passwordsafe.sourceforge.net/

Stel sterke combinaties in en gooi ze over op een netwerkshare. Segment per verantwoordelijkheidsgebied ... centrale infrastructuur, productieservers, dev / QA, etc.

Zodra er voldoende momentum is, en ervan uitgaand dat ik de juiste Windows-omgevingen heb, wil ik iedereen hier naartoe verplaatsen:

http://www.clickstudios.com.au/passwordstate.html

Het heeft functies voor zowel gedeelde als persoonlijke referenties.


25
2018-05-20 14:55



Is er een linux- of mac-programma dat wachtwoordveilige bestanden kan lezen? Het zou leuk zijn om een ​​goede oplossing te hebben voor een omgeving waarin mensen verschillende besturingssystemen gebruiken. De beste die ik tot nu toe heb gevonden zijn gpg-gecodeerde tekstbestanden. - Mark
Absoluut: passwordsafe.sourceforge.net/relatedprojects.shtml - Adam D'Amico
Ik heb Passwordstate gecontroleerd, maar het lijkt vrij beperkt in vergelijking met andere betaalde oplossingen. Om te beginnen zijn wachtwoordopzoekingen niet controleerbaar. Dit zou echter beschikbaar moeten zijn in de volgende release. - Sergei
Het lijkt erop dat Passwordstate nu beschikt over redelijke auditfuncties. clickstudios.com.au/about/compliance-reporting.html - Nic


Niet te vergeten is de noodzaak om dat te kunnen intrekken wachtwoorden als een werknemer vertrekt / wordt ontslagen. Er zijn in de populaire media verschillende gevallen gemeld waarin werknemers worden ontslagen en 'terug' gaan naar hun bedrijf met behulp van wachtwoorden die nog actief waren nadat ze waren vertrokken.

Dit zijn meestal 2 delen:

  1. Alle wachtwoorden kennen die moeten worden gewijzigd (anders is standaard alles wat vervelend is)
  2. Ze handmatig wijzigen of het proces automatiseren met een tool of script.

Een andere belangrijke factor is ervoor te zorgen dat het wachtwoordbeleid wordt gevolgd wanneer de wijzigingen worden aangebracht - b.v. hoe weet je dat hetzelfde wachtwoord niet op meerdere accounts is gebruikt of dat er geen zwak wachtwoord is gebruikt?


12
2018-05-20 11:06



Net als een observatie, zou ik dit als commentaar opwaarderen, maar niet als een antwoord, omdat het de vraag niet behandelt. Nog steeds een goed punt. - Kara Marfia


Ik werk in een kleine IT-winkel en we hebben gebruikt Geheime server voor het afgelopen jaar om onze wachtwoorden te beheren voor onze netwerkapparaten en klantbehoeften.

Ze bieden een "install-editie" of een online / gehoste editie. We gebruiken de gehoste versie voor minder dan $ 100 / jr (5 gebruikers) en hebben veilig toegang tot dit wachtwoord via webbrowser waar we ook gaan. Als u zich echt zorgen maakt over de beveiliging, installeert u deze op uw eigen server en hebt u alleen toegang via LAN of VPN.

Bovendien biedt mijn favoriete "persoonlijke" webgebaseerde wachtwoordmanager nu een "zakelijke versie" - PassPack.

Ik weet niet zeker hoe het presteert in dit scenario versus de geheime server, maar beide oplossingen zouden veel veelzijdiger en veiliger moeten zijn dan stukjes papier, desktop-apps of (snik) dingen in je hoofd onthouden. Voor het probleem van "single point of failure", staat elk van deze producten een eenvoudige export naar CSV toe.


10
2018-05-20 18:20



thycotic.com/products_secretserver_overview.html - Joseph
passpack.com/en/home - Joseph
Secret Server ziet er netjes uit, maar het is niet goedkoop! - Toto


Ik heb gebruikt LastPass al een tijdje en vind het geweldig. Ik heb een beetje tijd besteed aan het onderzoeken van deze vraag vorig jaar en ik vond het leuk hoe LastPass het had gedaan.

  • Alle info wordt opgeslagen op hun site (en een lokale kopie) in een gecodeerde bundel, zodat alleen u het wachtwoord kunt decoderen
  • Alle wachtwoorden kunnen worden gedeeld en ingetrokken, u kunt ze zelfs delen zonder toegang te geven tot het wachtwoord zelf (voor webaanmelding)
  • Plug-ins voor de grote browsers
  • Veel andere functies

4
2018-06-23 15:04





Ik sluit Adams aanbeveling van PasswordSafe af met de gegevens in een netwerkmap. Ik heb op dit gebied twee overwegingen. Eén daarvan heeft één versie, zodat iedereen die de gegevens nodig heeft, de huidige gegevens krijgt.

1- PasswordSafe gebruikt een gestandaardiseerd formaat voor het bestand, dus er zijn andere oplossingen die het kunnen lezen, waaronder KeePass.

2- Zet het wachtwoordbestand op een beveiligde share en gebruik een nachtelijke script dat het naar een aantal locaties in het netwerk kopieert. Misschien kopieert u het naar een share op een andere server (indien mogelijk offsite) en naar een USB-station op de server. U wilt dat het bestand minstens één plaats heeft waar het niet wordt beschermd door een wachtwoord dat het opslaat!

3- Bewaar het installatieprogramma (of de uitvoerbare versie van het programma) op dezelfde plaatsen als het sleutelbestand, zodat u zo nodig snel kunt starten.

4- Laat mensen het bestand ALLEEN LEZEN openen, tenzij ze een wijziging moeten aanbrengen.

5- Indien nodig kunt u meerdere wachtwoordbestanden maken, één voor de inloggegevens die iedereen in het team nodig heeft en één voor de inloggegevens voor de echt gevoelige dingen.

ik zou niet raad aan om naar een webgebaseerde oplossing te gaan. Een intern gehoste oplossing kan in orde zijn, maar het lijkt een hoop moeite. Ik maak me ook zorgen over het feit dat het één faalkans is.


3
2018-05-20 15:15





Ik deel de verantwoordelijkheid voor nogal wat systemen met werknemers van een van mijn klanten. We zijn overeengekomen om een ​​wachtwoordschema te gebruiken voor de meest gebruikte accounts. Andere wachtwoorden worden opgeslagen in een op papier gebaseerde lijst met (nummer, wachtwoord) paren die worden bijgehouden door de Chief of IT van de klant. De gebruikersnamen en hosts worden opgeslagen in een gemakkelijk toegankelijke database. Wachtwoorden worden op need-to-know-basis uitgedeeld.


2
2018-05-20 11:11





Gangbare praktijk in kleine en middelgrote bedrijven:

Drie plaatsen waar ik heb gewerkt hebben verschillende documenten gebruikt om wachtwoorden voor verschillende systemen in detail te beschrijven. Eén document voor de routers en firewalls, een ander voor toegang tot de servers en een voor ontwikkelaars (bijvoorbeeld inloggegevens voor databaseverbindingen). Toegang tot applicaties is meestal niet gedocumenteerd (ik neem aan omdat u zich voor de meesten aanmeldt als uzelf met beheerdersrechten).

De netwerkbeheerder ziet alleen het wachtwoord van het routerswachtwoord en de personen die toegang hebben tot dit document worden in dit bestand vermeld. Hun arbeidsvoorwaarden geven aan dat logins en wachtwoorden waartoe ze toegang hebben, privé zijn en niet met anderen mogen worden gedeeld. Vergelijkbaar voor systeembeheerder en de ontwikkelaars.

De realiteit is dat het wachtwoord soms wordt gedeeld, maar u kunt identificeren wie moet weten (en waarom) en wijzigen wat moet worden gewijzigd. Het werkte goed in een (software) bedrijf van 50 werknemers.


2
2018-05-20 11:15





Voor zelden gebruikte wachtwoorden zoals lokale beheerdersaccounts op servers, de router- en firewallwachtwoorden en dergelijke bij mijn laatste taak, een winkel van ongeveer 50 of zo, kende alleen de systeembeheerder de wachtwoorden. Ze werden neergeschreven op een vel papier in een envelop. Ik geloof dat er drie enveloppen waren verzegeld en ondertekend door de Boss, de SysAdmin en de Head Programmer. Elke persoon had een kopie van de documenten. In het geval dat de wachtwoorden werden gebruikt, hebben we deze veranderd en nieuwe enveloppen gemaakt.

In mijn huidige baan, bij een veel grotere organisatie, hebben we 15 sysadmins alleen, en een paar duizend gebruikers hebben we een methode voor het berekenen van wachtwoorden op basis van de naam van een server. Dit omvat een bekende prefix en een hash-methode die eenvoudig genoeg is om op papier te doen. Wanneer wachtwoorden moeten worden gewijzigd omdat iemand vertrekt of niet, veranderen we het voorvoegsel of de hash of beide. Op die manier, terwijl ik het wachtwoord niet ken voor elke machine of apparaat om me heen, zou ik het kunnen berekenen als ik het om een ​​of andere reden nodig had.


2
2018-05-20 17:38



goed idee, kunt u een voorbeeld geven van zo'n eenvoudige, berekenbare hashmethode? - Aleksandar Ivanisevic
Je zou ROT aka cesar cipher kunnen gebruiken, maar met een willekeurig gekozen nummer tussen 1 en 26 voor de offset. Als uw server bijvoorbeeld de naam fileserver2 heeft gekregen en het prefix Le84D was en de offset 18 was, zou het wachtwoord Le84Dxadwkwjnwj20 zijn - Laura Thomas


Er is een Lifehacker bericht van vandaag ongeveer PassPack, het is misschien de moeite waard om te bekijken.


2
2018-05-23 15:45