Şifrelerin Paylaşılması İçin En İyi Uygulama ve Çözümler [kapalı]

Şirketimizde birden fazla kişi tarafından bilinmesi gereken çeşitli şifrelerimiz var. Örneğin, internet yönlendiricilerimize verilen yönetici şifresi, web sunucumuzun şifresi ve ayrıca güvenli kodlar gibi birkaç "BT dışı" şifre.

Şu anda, düşük değerli sistemler için geçici bir "standart şifreler" sistemi ve daha önemli / potansiyel olarak zararlı sistemler için şifrelerin sözlü olarak paylaşılmasını kullanıyoruz. Bence çoğu insan bunun iyi bir sistem olmadığı konusunda hemfikirdir.

İstediğimiz şey, “paylaşılan” şifreleri saklamak için, gerçekte ihtiyacı olan insanlarla sınırlı olan her birine erişim sağlayan bir yazılım çözümüdür. İdeal olarak, bu periyodik şifre değişikliklerini isteyebilir veya uygular. Ayrıca, belirli bir şifreye kimin erişimi olduğunu gösterebilmelidir ( örneğin , XYZ sunucusu için kök şifresini kim biliyor?)

Şifreleri saklamak ve paylaşmak için herhangi bir yazılım çözümü önerebilir misiniz ? Dikkatli olmak için özel bir şey var mı?

Bunun için küçük-orta ölçekli şirketlerdeki ortak uygulama nedir?

Her seferinde yeni bir işe başladığımda bu problemle karşılaşıyorum. Yaptığım ilk şey, bunun gibi bir programla (veya türevlerinden biriyle) birkaç "Şifre kasası" yapmak:

http://passwordsafe.sourceforge.net/

Güçlü kombinasyonlar ayarlayın ve bunları bir ağ paylaşımına atın. Sorumluluk alanına göre segmentlere ayırma ... merkezi altyapı, üretim sunucuları, dev / QA vb.

Yeterli momentum olduğunda ve uygun Windows ortam bağımlılıklarına sahip olduğumu varsayarak, herkesi şuna taşımak istiyorum:

http://www.clickstudios.com.au/passwordstate.html

Hem paylaşılan hem de kişisel kimlik bilgileri için özelliklere sahiptir.

Unutulmamak, bir çalışanın işten çıkarılması / işten çıkarılması durumunda şifreleri iptal edebilme ihtiyacıdır . Popüler çalışanların medyada kovuldukları ve gittikten sonra hala aktif olan şifreleri kullanarak şirketlerine 'geri döndükleri' konusunda bir çok vaka kaydedilmiştir.

Bu genellikle 2 bölümdür:

1. Değiştirilmesi gereken tüm şifreleri bilmek (aksi halde sıkıcı olan herkese varsayılan)
2. Bunları el ile değiştirme veya işlemi bir araç veya komut dosyasıyla otomatikleştirme.

Bir diğer önemli faktör de, değişiklik yapıldığında şifre politikasının izlenmesini sağlamaktır; örneğin, aynı şifrenin birden fazla hesapta kullanılmadığını veya zayıf bir şifrenin kullanılmadığını nasıl biliyorsunuz?

Küçük bir BT mağazasında çalışıyorum ve ağ aygıtlarımız ve müşteri ihtiyaçlarımız için şifrelerimizi yönetmek için geçtiğimiz yıl Secret Server kullanıyoruz .

Bir "kurulum sürümü" veya çevrimiçi / barındırılan bir sürüm sunarlar. Barındırılan baskıyı 100 $ / yıldan (5 kullanıcı) daha az bir süre için kullanıyoruz ve bu parola bilgisine gittiğimiz her yerde web tarayıcısı üzerinden güvenli bir şekilde erişebiliyoruz. Güvenlik konusunda gerçekten endişeleniyorsanız, kendi sunucunuza kurun ve yalnızca LAN veya VPN ile erişin.

Ayrıca en sevdiğim "kişisel" web tabanlı şifre yöneticim artık "işletme sürümü" - PassPack'i sunuyor .

Gizli Sunucuya karşı bu senaryoda nasıl performans gösterdiğinden emin değilim, ancak her iki çözüm de kağıt parçalarından, masaüstü uygulamalarından veya kafanızdaki şeyleri hatırlamaktan (çok fazla) daha fazla yönlü ve güvenli olmalı . "Tek başarısızlık noktası" endişesi için, bu ürünlerden herhangi biri CSV'ye kolay ihracat yapılmasını sağlar.

Bir süredir LastPass kullanıyorum ve onu seviyorum. Geçen yıl bu soruyu araştırmak için biraz zaman harcadım ve LastPass'ın bunu nasıl yaptığını sevdim.

• Tüm bilgiler kendi sitelerinde (ve yerel bir kopyada) şifrelenmiş bir pakette, sadece şifresini çözmek için şifreye sahip olduğunuzda saklanır.
• Tüm şifreler paylaşılabilir ve iptal edilebilirdir, şifreye erişmeden bile paylaşabilirsiniz (web girişleri için)
• Büyük tarayıcılar için eklentiler
• Diğer birçok özellik

Adam'ın, bir ağ klasöründeki verilerle birlikte, PasswordSafe'nin önerisini ikinci olarak kullandım. Bu alanda iki düşüncem var. Biri tek bir sürüme sahip, böylece verilere ihtiyacı olan herkes mevcut verileri alıyor.

1- PasswordSafe, dosya için standart bir format kullanır, bu yüzden KeePass da dahil olmak üzere okuyabilen başka çözümler de vardır.

2- Parola dosyasını güvenli bir paylaşıma yerleştirin ve onu ağdaki birkaç konuma kopyalayan gecelik bir komut dosyası kullanın. Belki de başka bir sunucudaki bir paylaşımına (mümkünse saha dışında) ve sunucuda kalan bir USB sürücüsüne kopyalayın. Dosyayı, depoladığı bir parola ile korunmadığı en az bir yer istiyorum!

3- Yükleyiciyi (veya programın çalıştırılabilir sürümünü) anahtar dosyasıyla aynı yerlerde saklayın, böylece gerektiğinde hızlı bir şekilde erişebilirsiniz.

4- Değişiklik yapmak zorunda olmadıkça, kişilerin dosyayı YALNIZCA HAZIR açmasını sağlayın.

5- Gerekirse, biri ekipteki herkesin ihtiyaç duyduğu kimlik bilgileri için, diğeri gerçekten hassas şeyler için kimlik bilgileri için birden çok şifre dosyası oluşturabilirsiniz.

Ben ediyorum değil web tabanlı çözümüne geçiş önerilir. Dahili olarak barındırılan bir çözüm Tamam olabilir, ancak çok fazla sorun gibi görünüyor. Ayrıca tek bir başarısızlık noktası olduğu konusunda endişeliyim.

Müşterilerimden birinin çalışanlarıyla epeyce sistemlerin sorumluluğunu paylaşıyorum. En sık kullanılan hesaplar için bir şifre şeması kullanmaya karar verdik. Diğer şifreler, müşterinin Bilgi İşlem Şefi tarafından tutulan kâğıt tabanlı bir (sayı, şifre) çift listesinde saklanır. Kullanıcı adları ve ana bilgisayarlar kolayca erişilebilir bir veritabanında saklanır. Şifreler bilmesi gereken bir temelde dağıtılır.

Küçük-orta ölçekli işletmelerde ortak uygulamalar:

Çalıştığım üç yer, farklı sistemler için şifreleri detaylandırmak için ayrı belgeler kullandı. Yönlendiriciler ve güvenlik duvarları için bir belge, sunuculara erişim için bir belge ve geliştiriciler için bir belge (örneğin, veritabanı bağlantıları için giriş bilgileri). Uygulamalara erişim belgelenmemiş olma eğilimindedir (çoğu kişi için yönetici haklarıyla kendiniz olarak giriş yaptığınız için kabul ediyorum).

Ağ yöneticisi sadece yönlendirici şifre belgesini görür ve bu belgeye erişimi olan kişiler bu dosyada listelenir. Onların çalışma koşulları, girişleri ve şifreleri erişebildiklerini özel ve başkalarıyla paylaşılmaması gerektiğini belirtiyor. Sistem yöneticisi ve geliştiricileri için benzer.

Gerçeklik bazen parola paylaşılır, ancak kimin bilmesi gerektiğini (ve neden) tanımlayabilir ve neyin değiştirilmesi gerektiğini değiştirebilirsiniz. 50 çalışanın (yazılım) bir şirkette iyi çalıştı.

Sunuculardaki yerel yönetici hesapları, yönlendirici ve güvenlik duvarı şifreleri ve son işimdeki gibi nadiren kullanılan şifreler, yaklaşık 50 kişilik bir dükkan, sadece sysadmin şifreleri gerçekten biliyordu. Bir zarfın üzerine bir kağıda yazılmıştır. Patron, SysAdmin ve Baş Programcı tarafından imzalanan ve imzalanan üç zarf olduğuna inanıyordum. Her bireyin belgelerin bir kopyası vardı. Şifreler kullanıldığında onları değiştirdik ve yeni zarflar yaptık.

Şu andaki işimde, daha büyük bir organizasyonda sadece 15 sistem yöneticimiz var ve birkaç bin kullanıcı bir sunucu adına göre şifreleri hesaplamak için bir yöntem kullanıyor. Bu, bilinen bir ön ek ve kağıt üzerinde yapılacak kadar basit olan bir karma yöntemi içerir. Parolaların değişmesi gerektiğinde, çünkü birileri ayrılıyor veya ön eki veya karma ya da her ikisini de değiştirmiyoruz. Bu sayede etrafımdaki her makine veya cihazın şifresini bilmemekle birlikte, bir sebepten dolayı ihtiyacım olursa hesaplayabilirim.

Bugünden itibaren Passpack ile ilgili bir Lifehacker yazısı var, bakmaya değer olabilir.

Daha önce de aynı sorunu yaşadım. Bunu kendim halletmek için bir sistem kurdum. Kullanıcı adını ve şifreyi, hesap bilgilerini girmenize izin verecek ve İnternet üzerinde web arayüzü bulunan ve yüksek oranda şifrelenmiş bir formda sakladı ve güvenlik bilgilerini yalnızca doğru kişilerin veya grupların verilere erişebilmesi için ayarlayın.

Şifreleri değiştirme zamanı gelmediği için istemedi, çünkü onlarca sunucudaki hizmetler aynı girişi kullandı ve şifrelerdeki değişikliklerin önceden yapılması gerekiyordu.

Tam bir denetim özelliği ile yaptım, böylece bir çalışan bir oturum açışına her bakışta SOX denetçileri için denetim günlüğünü Excel'e bırakabilmemiz için günlüğe kaydedildi.

Bir metin dosyasını içinde bulunan tüm şifrelerle şifrelemek için Simetrik seçeneğiyle GPG'yi kullanın. O zaman tek yapmanız gereken bir şifre öbeğini diğer yöneticilere sağlamaktır. Bir yönetici şirketten ayrıldığında, metin dosyasını yeni bir şifre ile yeniden şifreleyin.

Centrify benim için çalışıyor.

Vay, iyi iplik! Tercih ettiğim çözümden kimse geçmedi (geçme hariç), bu yüzden KeePass'a bir not vereceğim. Parola, anahtar veya AD tabanlı kimlik doğrulaması ile hoş bir şekilde genişletilebilir. İşi bizim için iyi yapar.

Sunuculara erişmek için:

Bir sunucuya erişim sağlayın ve bunu bir atlama kutusu olarak kullanın ve atlama kutusundaki hesapları yönetin. Jumpbox'a güvendiği varsayılan herhangi biri uzak kaynağa güvenir. Bu şekilde herkesin kendi şifresi vardır ve belirli bir hesap için sunucudaki şifre gizli tutulabilir.

Diğer kaynaklara erişmek için:

Sadece gerekli personele erişimi sınırlayın. Güvenilir kullanıcıların listesini yönettiğinizden emin olun. Her 90 günde bir şifreyi değiştirin ve güvenilir kullanıcıların listesini güncelleyin. İnsanlara beklemedeki değişikliği 15, 7 ve 1 gün önceden haber verin. Şifreyi yalnızca yöneticilere dağıtın ve kimin erişmesi gerektiğini belirlemelerine izin verin. Erişimi günlüğe kaydetmek için yardımcı programları kullanın ve düzenli olarak kullanıcıların yakından takip edildiklerini bilmelerini sağlayın. Sunuculardaki komik işler bilinen bir sonlandırılabilir suç olmalıdır.

Bunun tam olarak istediğiniz cevap olmadığını biliyorum ama iş yerimde tamamen aynı, çalışanların güvenilir üyelerine ilgili şifreler verildi, şifreler cihazlar arasında paylaşılmadı ve yazılmadı. Sistem oldukça iyi çalışma eğilimindedir, çünkü cihazların yönetimi genellikle sadece birkaç personelin sorumluluğundadır. Ayrıca, çok iyi bir personel görevliliğine sahibiz, böylece güven uzun bir süre boyunca geliştirilebilir.

Bir çeşit parola kasası yazılımı kullanmak isteyebilirsiniz - bu şekilde yetkili kullanıcılara programa kendi erişimlerini verebilir ve etrafta not bırakan kişilerin sızdırmaz olmadığından emin olabilirsiniz. İyi bir şifre muhtemelen şifreyi bile göstermez, sadece cut'n paste için panoya bırakır.

Başkan ve Bomb gibi bir sistemimiz var - iki kişi de şifrenin yarısını biliyor. Bu şekilde, hiçbir haydut yöneticinin kaldığı ve kendi başına onaylanmamış değişiklikler yaptığı bir durum elde edemezsiniz.

Bir bilişim firmasında çalışıyorum, birçok müşterimiz var, normalde problemi uzaktan çekiyoruz. Sorun gidermek için oturum açmak için ssh kullanıyoruz. Tüm makinelerimize bir makine ssh-key ekledik, bu yüzden eğer giriş yapmadıysam ve sorunları gidermek için diğerlerine yardımcı olacaktır. güvenli. İyi şifrelere sahip olmak istiyorsanız daha iyi rakamlar ve ekstra karakter kullanın.

Ssh anahtarlarını eklemek için aşağıdakileri yapın:

1.ssh-keygen -t dsa (.ssh / id_dsa.pub dosyasına ssh anahtarlarını almak için

2. scp .ssh / id_dsa.pub root @ remote: ~ / tmp

3. Uzak makinede

cat >> /tmp/id_dsa.pub .ssh / approved_keys2

Macine'i başka bir konsoldan kaldırmak için giriş yapmayı deneyin ... :) happy sshhhhhh

Parola gerektiren sistemleri kullanmayı reddet. Herhangi bir sunucunun SSH anahtarlarıyla, OpenID ile herhangi bir web sitesinde kimlik doğrulaması yapması gerekir. Güvenlik duvarının içinde bir OpenID sağlayıcı çalıştırın.

Açıkçası, bu senaryo tüm sistemlerinizin SSH veya HTTP üzerinden erişilebilir olduğunu ima ediyor, ancak bizim için çalışıyor.