Gestione delle password all'interno di un'organizzazione

Anche se ho visto molte implementazioni di soluzioni a questo problema, credo che il più completo, se non forse il più conveniente, fosse un repository Git limitato ai super utenti che contenevano solo file di testo crittografati di password per ambiente. La gestione della rotazione della password sui dispositivi, server misti e dispositivi dedicati come i modem, è stata gestita separatamente.

Questa soluzione semplificava notevolmente la distribuzione di nuove password come un semplice aggiornamento che doveva essere eseguito dagli utenti per ricevere l'ultima revisione delle password, oltre a fornire una cronologia tracciabile delle password precedenti per la conservazione dei record.

Come ricordo i file erano crittografati con GPG, ma ci sono numerose soluzioni e approcci fattibili per gestire i file stessi.

L'ovvio svantaggio di questo approccio è che, specialmente quando le password sono cambiate, stai decifrando uno o più file alla ricerca delle password richieste. Naturalmente, come con qualsiasi altra cosa, più frequentemente usi una password più è probabile che tu la memorizzi e, a seconda del / i dispositivo / i in questione, l'accesso potrebbe essere un evento poco frequente che non è molto ostacolato dal dover passare attraverso un processo un po 'più lungo per ottenere la password appropriata.

Se sei interessato anche a strategie e / o script per generare e / o modificare password su server e / o altri dispositivi, sarei lieto di condividere anche quelle che uso.

-

Sarei felice.

Supporrò che tu abbia familiarità con la crittografia dei file, PGP o altro. Se questo è errato, non esitare a chiedere e saremo lieti di fornire alcuni esempi.

La configurazione di un repository Git è relativamente semplice e mostrerà somiglianze con la maggior parte delle soluzioni di gestione dei contenuti con cui potresti essere esperto. Una nota con Git: è, per impostazione, completamente aperta e, come tale, richiederà ulteriori passaggi per limitare l'accesso a file o archivi specifici. Questo può essere ottenuto relativamente semplicemente sfruttando il file system acl (solo una possibile soluzione). Detto questo, ti consiglierei sicuramente di utilizzare una soluzione con la quale sei a tuo agio e familiare, soprattutto se nella tua organizzazione sono già in uso soluzioni di gestione dei contenuti alternative.

Il file (s), per definizione, rappresenterà un database delle password che collega gli identificativi del dispositivo, come ad esempio il nome host, alle password e, potenzialmente, ai nomi degli utenti. Ad esempio: router-1.internetdomainwebsite.com administrator soopersekretpasswerd . Idealmente non archiverai mai il file in chiaro, tuttavia, seguendo questa strategia, le password di recupero sono relativamente scomode. Per questo motivo raccomando di eseguire lo scripting di un accessorio per lavorare all'interno del tuo framework di crittografia, magari prendendo un identificatore come termine di ricerca e scrivendo solo la password richiesta in un file per l'utilizzo una tantum da parte del richiedente.

Qualsiasi dispositivo che supporta le modifiche della password può essere scriptato. Poiché la maggior parte dei dispositivi supporta la modifica delle password da una CLI, consiglierei di dare un'occhiata al linguaggio Expect e / o alle sue librerie per Perl, Python o alla lingua scelta. Personalmente utilizzo uno script che accetta il nome utente desiderato, accetta la password corrente, accetta e verifica la password desiderata, quindi modifica e verifica la modifica su tutti gli host passati o forniti quando richiesto. Il suo Perl piuttosto semplice con Expect.

Come per il tuo commento, stai parlando di sistemi e dispositivi che insistono sulla condivisione di utenti / modalità utente singolo:

Prima di tutto, cerca di evitare / minimizzare il più possibile.

In secondo luogo, evita e minimizza il più possibile.

In terzo luogo, questa dovrebbe essere una considerazione nella valutazione di prodotti / servizi - se ha una tale insicurezza intrinseca, potrebbe non volerlo, dopo tutto. È probabile che ci siano altri problemi anche lì ...

In quarto luogo, verifica due volte con il fornitore / fornitore per vedere se c'è un modo per configurarlo in modo sicuro.

In quinto luogo, prendi in considerazione la costruzione di una sottile applicazione di tipo "proxy", che imporrà l'autenticazione dell'utente e quindi utilizzerai il proprio account singolo per il dispositivo, con la propria password casuale interna.

Sesto - se aaaalll quanto sopra non sono rilevanti / non funzionano (seriamente ??) - Ho visto posti che hanno una cartella ACLed, crittografata - o meglio, una cryptosafe - con accesso concesso solo agli amministratori, e in esso file memorizzati con le password generate casualmente.
A seconda della tua cultura / tipo di organizzazione, potrebbe essere meglio stampare le password e memorizzarle in ACTUAL safe, protette dai tuoi ufficiali di sicurezza, e la combinazione data solo agli amministratori ....

Gestisco un'agenzia digitale e spesso dobbiamo gestire una serie di password e condividerle tra il nostro team di sviluppatori / manager, ecc. Così ho fatto ricerche sul modo migliore per gestirle. (In precedenza abbiamo utilizzato KeePass sincronizzato su Dropbox, ma stava diventando ingestibile.)

Abbiamo deciso di utilizzare una soluzione cloud / ospitata accessibile dai nostri computer e dai dispositivi mobili quando non siamo in ufficio.

Queste sono alcune delle opzioni che hanno reso la nostra lista:

• LastPass
  Le singole voci possono essere condivise con un account gratuito, ma richiede un account premium ($ 12 / anno) per condividere una singola cartella o un account aziendale ($ 24 / anno) per condividere più cartelle.

• 1Password
  $ 3-8 per utente al mese, a seconda del piano

• Passpack
  Gratuito per 1 utente, $ 18 / anno per 3 utenti, $ 48 / anno per 15 utenti.
  Sfortunatamente l'interfaccia utente non è così amichevole come potrebbe essere, ma a quanto pare dovrebbe avvenire una riprogettazione nel 2014.

• Dashlane
  Account di base gratuito o $ 40 / utente / mese per sincronizzare i dispositivi e condividere più di 5 elementi.

  Vedi: Analisi di sicurezza di Dashlane

• CommonKey
  Gratuito per team di 3, o $ 20 / mese + $ 2 / utente / mese per funzionalità aziendali / aziendali.

• Mitro
  Interfaccia utente libera e intuitiva, ma con funzionalità limitate.

• Meldium (ora di proprietà di LogMeIn)
  A partire da $ 29 al mese per 20 utenti.

• RoboForm Enterprise
  $ 37,95 per licenza, una tantum.

Non posso commentare la sicurezza di ciascuno di essi, ma la maggior parte ora (per fortuna!) esegue la crittografia sul lato client, in modo che anche gli sviluppatori e gli amministratori della società non possano accedere alle tue password.

LastPass sembra soddisfare la maggior parte delle nostre esigenze, quindi stiamo attualmente effettuando una prova. In origine, ci era stato raccomandato Passpack, ma abbiamo trovato l'interfaccia piuttosto goffa e si è rifiutata di importare il nostro file KeePass contenente un paio di account.

Si prega di commentare se si dispone di ulteriori dettagli o eventuali aggiunte degne di questo elenco e cercherò di aggiornarlo.

Vedi anche: Quanto sono sicuri i gestori di password come LastPass?

Le password sono il problema, non la soluzione. Il problema generale è l'autenticazione e l'autorizzazione sicure, spesso visualizzate come parte di "Identity Management".

LDAP o Kerberos / AD possono essere utilizzati per centralizzare l'autenticazione e mantenere sincronizzate le password. L'uso di SSH e l'autenticazione della chiave pubblica / privata è un'altra buona opzione.

L'approccio più moderno è quello di risolvere quel problema in un modo più generale e conveniente, che aiuta anche le persone a passare da password a token sicuri o altri modi più robusti per autenticarsi. Un sistema single-sign-on che consente alle persone di autenticarsi una volta e quindi sfruttare quell'autenticazione per l'autorizzazione ad accedere ad altri servizi è una soluzione comune.

Gli approcci tecnici per farlo includono OAuth, SAML, Shibboleth e InfoCard.

Le password di root e gli account amministratore di tutti i tipi dovrebbero essere eseguiti nel modo seguente:

3 stakeholder chiave li assegnano a caso con un assortimento di caratteri pseudo-casuali di dimensioni massime.

Li annotano (senza memorizzarli) e li mettono in buste e li conservano / li mettono al sicuro. Li fanno ruotare ogni anno con nuove passphrase.

L'utilizzo quotidiano viene effettuato tramite account amministratore di gruppo associati a nomi reali, che separano gli appaltatori in base al nome dell'account (ad esempio admcjsmith invece di admjsmith) e dominio (se possibile). Unix / LDAP è fatto in modo simile ad es. via sudo.

Gli account con nome come root e Administrator non dovrebbero mai essere usati o conosciuti. In modo simile, gli account chiave di accesso / chiave di accesso cloud devono essere compartimentati e protetti.

Usiamo KeePass per memorizzare le password. Ogni team responsabile dell'IT (Sicurezza, Sistemi, Clinica, Affari, Accessori) è responsabile del database KeePass dei loro team e del mantenimento dei contenuti. Se chiunque ha accesso a un determinato database lascia il dipartimento o l'organizzazione, tutte le password in quel database devono essere modificate.

Ho visto e recensito applicazioni che proxyano l'autenticazione per supportare il controllo e la gestione delle password. Questi hanno funzionato per alcune delle nostre applicazioni più comuni, ma non hanno risolto le applicazioni specifiche del settore che usiamo.

Ho lavorato con "Secret Server" nel link . Posso fornire una sola password e condividerla con il maggior numero possibile di persone.

C'è una pista di controllo e una grande funzionalità di ricerca integrata nell'applicazione web. Esiste anche una versione "cloud" online dell'applicazione gratuita per un utente.

Puoi creare un nuovo segreto per ogni dispositivo che possiedi e aggiungere il tuo secondo le necessità:

Tutti gli accessi a questo database sono garantiti da credenziali locali o di Active Directory. Se si sceglie di farlo, è possibile avere accesso senza interruzioni (SSO) per accedere al database per l'utente attualmente connesso su Kerberos / NTLM.

Nel complesso, ritengo che questa sia una buona scelta per un team e un repository generale per informazioni sulla sicurezza aziendale.

Sono d'accordo con nealmcb che in un ambiente controllato con amministratori competenti una soluzione single-sign on è probabilmente la migliore.

Per le credenziali di tracciamento dei siti Web o dei servizi di terze parti, puoi dare un'occhiata alla soluzione enterprise di lastpass.com che ti consente di condividere le credenziali di accesso con utenti e ruoli specifici.

Ho anche sentito "Clipperz" menzionato in questo contesto prima ma non ho esperienza con esso.

Mi piace molto Password Manager Pro . È un sito web che è legato al tuo annuncio / ldap che condividerà le password per la tua organizzazione a qualsiasi gruppo desideri, le persone possono anche memorizzare le proprie password.

Funzionerà con solide politiche, storici, audit e cosa no.

Ha anche funzionalità di modifica, ho collegato alcuni script di pam per fare alcune modifiche direttamente da PMP che altrimenti sarebbe stato difficile.

Alcune delle password complesse, come la password della tua soluzione di rete, le password di un datacenter remoto e roba del genere, ha una logica per la quale può essere regolata. Incredibile quando fai tutto il lavoro svolto per vedere quanto hai appeso là fuori e quanto dovresti avere di più / più gruppi di utenti e così via.

Dipende principalmente dalle politiche e dai requisiti dell'azienda.

Ad esempio, se la maggior parte delle credenziali viene utilizzata da strumenti automatici (per scopi di integrazione continua), è possibile utilizzare la funzione Ansible Vault che consente di mantenere dati sensibili come password o chiavi in file crittografati . Questi file possono essere controllati dalla versione e le persone che li accedono possono sempre eseguire ansible-vault view some-encrypted-file .

Se non hai intenzione di utilizzare Ansible , puoi semplicemente utilizzare GPG Tools e commetti i file crittografati nel repository del codice.

Se utilizzi estesamente le piattaforme cloud (come Amazon Services), alcune piattaforme di gestione del cloud (come Scalr ) ti consentono per organizzare password e chiavi private online.

Se le tue password devono solo essere gestite da persone, puoi utilizzare i gestori di password come menzionato nella altra risposta , ad esempio Dashlane che supporta la sincronizzazione e la condivisione delle password in modo sicuro. Se cerchi soluzioni gratuite e open source, prova a utilizzare strumenti come KeePass .

Passpack sembra essere un servizio sviluppato esattamente per questo scopo. Permette di memorizzare la password (e altre informazioni) online in forma crittografata e di condividere i diritti con le password all'interno di una squadra. Supporta anche il login one-click tramite lo script dei segnalibri del browser.

Non ho ancora alcuna esperienza di utilizzo. Ma dopo aver fatto una piccola ricerca sull'argomento, oggi Passpack assomiglia alla soluzione che useremo nel nostro team di 7 persone.