La nostra startup ha qualcosa come 100 nomi utente e password da tenere sotto controllo e non possiamo tenere traccia di tutti loro. Sarebbe una cattiva idea metterli tutti in un foglio di calcolo di Google condiviso tra di noi? Sembra un problema di sicurezza, ma non riesco a capire perché lo penso.
Senza voler scegliere Google, dovresti leggere l'articolo di James Fallows nel novembre Atlantic Monthly . In breve, l'account GMail della moglie di Fallows è stato compromesso da un truffatore. Il truffatore ha usato la sua mailing list e le vecchie e-mail per generare un "Aiuto, sono stato aggredito in una città straniera e ho bisogno di soldi!" truffa. Inoltre, il malintenzionato ha cancellato tutti i suoi documenti e le vecchie e-mail prima che riprendesse il controllo dell'account.
Considera: il tuo documento condiviso non è più sicuro di quello del tuo membro del team più distratto. Sebbene la sicurezza di Google possa essere in generale migliore della tua in teoria, è anche un obiettivo più importante e può essere facilmente compromessa dalla negligenza da parte di un utente.
Puoi incorporare il cloud di Google nella tua infrastruttura, ma non puoi semplicemente presumere che Google assumerà tutte le responsabilità per la tua sicurezza. Nessuno si preoccuperà dei tuoi dati tanto quanto te.
Utilizzare un sistema di gestione password sicura. Sono facili da configurare e abbastanza economici.
Eccone uno che mi ha consigliato da un collega: link
E sì, mettere tutte le tue password in un foglio di calcolo condiviso è una cattiva idea per almeno 2 ragioni:
L'ovvia ragione (sicurezza). Un errore (ad es. Ti tocca un indirizzo e-mail o accidentalmente collega il file sbagliato a una e-mail) e devi cambiare ogni password. O se la tua rete è compromessa, devi presupporre che il foglio di calcolo sia stato perso e che ora l'utente malintenzionato abbia potenzialmente tutte le password del fornitore / partner (o qualsiasi altra cosa sia memorizzata nell'elenco).
La ragione non ovvia: alla fine il foglio di calcolo diventerà obsoleto o saranno disponibili più copie. Questo è un problema con la gestione dei documenti in ogni azienda. Anche come avvio, non è mai troppo presto per iniziare a pianificare come condividere i documenti da una posizione centrale e gestire le modifiche.
Aspetta: stai pensando di condividere tra di voi la lista di tutti i tuoi nomi utente e password? Ciò non è solo spettacolare, è una cattiva idea monumentalmente indipendentemente dal fatto che tu la memorizzi come foglio di calcolo google o post-it!
E, ovviamente, un foglio di calcolo di google ha l'ulteriore svantaggio di essere reso pubblicabile su tutto il pianeta con un paio di clic.
La regola sulle password dovrebbe essere: "La tua password è strettamente personale. Se scopriamo che qualcuno diverso da te conosce la tua password, sei licenziato entrambi."
In un attacco mirato, una lista non protetta di utenti e password è una delle prime cose scansionate. Una volta che hai questo, hai le chiavi del regno.
La prossima cosa in linea è cercare un organigramma per trovare quali nomi di utenti potrebbero avere più probabilità di accedere ai dati che desideri rubare.
Se questo è per l'accesso a infrastrutture come router e server, è particolarmente utile se gli account admin hanno accesso a tutti i file che desideri leggere, non ingombranti dalle autorizzazioni dell'account utente.
Tieni queste cose sotto chiave, anche se è qualcosa di semplice come le note crittografate di Roboform. Non pensate nemmeno di mandare questo file da nessun'altra parte nel mondo esterno, non avete idea di dove verrà inviato o con chi verrà condiviso.
Nel tuo scenario come foglio di lavoro Google condiviso, non hai idea di chi lo condividerà. Il tuo modello di sicurezza deve essere ripensato perché in realtà non hai alcuna sicurezza quando condividi password come questa. Quis custodiet ipsos custodes?
Ho un collega che si è consultato per una società che stava facendo qualcosa di colossalmente stupido, stessa cosa, con le password delle banche.
Vuoi qualcosa come link ! (Sono solo un cliente felice (non aziendale).)
Con ciò, NESSUN membro del tuo staff ha bisogno dell'accesso diretto alle password per usarle. < sic >
Dipende dal livello di sicurezza richiesto.
Se sei un'agenzia di intelligence, una forza di polizia o un servizio sanitario che detiene informazioni confidenziali su milioni di persone, un foglio di calcolo di Google è completamente inaccettabile
In questo caso i dati dovrebbero essere in un foglio di calcolo Excel su una chiave USB che viene lasciata su un treno.
(negli Stati Uniti, dove la sinistra sulla feritoia di un treno è stata bloccata in modo efficace, dovrebbe essere lasciata in un taxi)
Leggi altre domande sui tag passwords