Condivisione di password e credenziali tra fondatori e dipendenti

4

Qual è il modo migliore per condividere password e credenziali dai vari account aziendali in modo sicuro?

Ad esempio, le e-mail non funzionano perché se qualcuno entra in uno degli account e-mail dei tuoi dipendenti, avranno accesso a tutti gli account della tua azienda.

    
posta nicholaides 25.06.2011 - 22:03
fonte

7 risposte

1

Uso 1password per questo puoi avere un account condiviso che sincronizzi tramite un file exrypted condiviso da Dropbox

    
risposta data 05.08.2014 - 21:37
fonte
7

Immagino che quello che stai cercando di ottenere qui sia uno scenario in cui hai qualcosa come [email protected] o forse se sei in una fase iniziale dell'azienda [email protected] .

Onestamente suggerirei che l'approccio migliore non è affatto quello di condividere le password. Per la maggior parte dei provider di hosting, l'e-mail di base non è così costosa fino a quando non si vuole scalare per avere conti gigabyte, ecc. Darei a ciascun dipendente il proprio indirizzo e-mail. Puoi fare una di queste due cose: rendere i tuoi account generici (dove qualsiasi dipendente potrebbe rispondere alla query) o caselle di posta (non a mio parere il modo migliore di procedere) a cui tutti hai accesso (assicurati di sapere come recuperare la password in l'evento di un dipendente scontento che lo modifica) oppure è possibile impostare tale account fino a inoltrare l'e-mail a tutti i dipendenti necessari. Se sei un piccolo team, questo potrebbe essere utile per coordinare le risposte.

La società per cui lavoro non utilizza in realtà l'e-mail per il supporto. Diamo ai nostri clienti accesso al nostro sistema di ticket di supporto (vedi questo elenco di sistemi di ticket) anche se avremmo potuto configurare anche l'invio via email dei biglietti. In entrambi i casi, quando i nostri clienti hanno un problema, creano un ticket e tutti possono vederli. Possiamo anche assegnarli a persone, quindi lo sviluppatore giusto gestisce effettivamente la query. Se gestisci le domande dei clienti come questa, potrebbe essere utile utilizzare un tale sistema se puoi, in quanto non solo nega la necessità di condividere le caselle di posta, ma ti consente una migliore organizzazione delle risposte alle richieste. Ospitare un tale sistema non è poi così costoso.

In generale, l'approccio migliore da seguire con il controllo degli accessi è di dare alle persone solo l'accesso a ciò di cui hanno bisogno. Hai assolutamente ragione di considerare cosa succede se un utente malintenzionato compromette l'account, ma cosa succede se il dipendente decide di fare un piccolo spionaggio industriale per un concorrente? Come start-up la tua azienda ha bisogno di un'attenta protezione. Quindi c'è un problema secondario con la distribuzione degli account, per farli tornare di nuovo. Assicurati di avere due cose in ordine:

  1. Che tu, in quanto proprietario dell'azienda, hai la possibilità di recuperare tecnicamente tutto ciò che ti serve in fretta. Ad esempio, l'accesso al tuo server dell'ufficio può semplicemente essere disattivato come amministratore, quindi sei coperto.
  2. O dove ciò non è possibile, che una condizione per ottenere il tuo ultimo assegno da te è la consegna di tutte le risorse aziendali, inclusa la gestione di tutte le passwords come gli account degli amministratori, le password ai router e la rete collegata dispositivi cioè tutto ciò che l'utente gestisce per te e che non ha un meccanismo di reset facile che puoi usare. Lo farei, se fossi in te, assicurati che ciò accada prima dell'ultimo giorno.

L'ultima cosa che vuoi, come azienda, per il tuo dipendente che è andato via perché non ha funzionato per cambiare la password di root sul tuo server web e bloccare tutti, specialmente se lasciano un bel messaggio maleducato a casa tua pagina e devi attendere l'assistenza tecnica della tua società di hosting per smontarla.

Sono sicuro che ascoltare i "tipi di sicurezza" sembra paranoico e spaventoso, ma la verità è che non hai bisogno della sicurezza del caveau qui, solo alcune pratiche ragionevoli in modo che se un attaccante o un dipendente ti prende di mira, hai qualche misure difensive in atto in modo tale che la tua attività continui e il danno sia minore.

Modifica: mi rendo conto che non hai detto che stai facendo lo sviluppo in modo specifico, ma ciò non impedisce di utilizzare una versione lite su scala ridotta di un CRM.

    
risposta data 26.06.2011 - 00:07
fonte
4

Questa potrebbe essere solo una domanda imbarazzante, ma credo che sarebbe sconsigliato non chiedere perché si desidera condividere password, in quanto si tratta di un grosso problema in quasi tutti gli ambienti. È in grado di violare qualsiasi tipo di controllo sull'identificazione di chi ha effettuato un'azione e si guasterebbe definitivamente sulla maggior parte dei tipi di controllo.

Di solito ci sono alternative, come i ruoli delegati ecc. che consentono comunque di tenere traccia delle attività.

    
risposta data 26.06.2011 - 00:07
fonte
3

è difficile rispondere alla tua domanda perché ci sono pochissime informazioni sui dettagli.

Stiamo parlando di dipendenti qui, quindi bisogna tenere presente che esiste un quadro legale , un contratto di lavoro. Quindi, soprattutto nelle piccole imprese e nelle start-up, fidarsi dei dipendenti è la soluzione più pratica. Come gestisci l'OCD relativo alla sicurezza potrebbe essere una lettura interessante.

Probabilmente è un buon punto di partenza per definire una persona (magari con un sostituto se l'avvio è abbastanza grande) per essere responsabile IT . È prassi comune che i tecnici IT si fidino delle piccole aziende perché altrimenti non sarebbero pratiche in tempi molto brevi.

Quindi dovresti esaminare i servizi concreti che richiedono l'autenticazione.

Lasciatemi fare un esempio:

Probabilmente hai un indirizzo email [email protected] a cui molte persone potranno accedere. Impostarlo come un normale account, con una password condivisa tra i dipendenti responsabili, è una soluzione facile . Le soluzioni semplici sono buone perché sono facilmente comprensibili.

Se uno di questi impiegati lascia l'azienda, deve essere cambiato. Un altro svantaggio è che è un'altra password che le persone devono ricordare. In caso di incidente dovrai eseguire il backup degli indirizzi IP durante la lettura dei file di registro perché tutti i dipendenti in questione condividono un account.

Molti server di posta cooperativi come Microsoft Exchange consentono la condivisione di caselle postali con account specifici . Quindi i dipendenti responsabili dell'indirizzo email di contatto possono accedervi utilizzando il proprio account. Questa è ovviamente una soluzione preferibile se è offerta dal tuo sistema di posta elettronica.

Un altro esempio sono l'accesso ai server. Sui server Microsoft Windows potrebbe essere una buona idea impostare un dominio. Ciò consente alle persone di accedere con il loro account di dominio a vari computer basati su Microsoft e di definire ruoli per ogni coppia di account / computer.

Il problema esiste ancora per il controller di dominio stesso . Ma questo dovrebbe essere gestito solo da due persone, evitando così problemi di combinazioni complesse tra persone e server.

Per l'amministrazione dei server Unix sudo (man sudoers ) è l'equivalente perché consente alle persone di eseguire comandi con le autorizzazioni di un altro utente.

Riassumendo : fidarsi dei dipendenti è una soluzione pratica. Esistono soluzioni relativamente semplici per tutti i servizi comuni, ma è necessario esaminare ciascun servizio.

    
risposta data 26.06.2011 - 00:51
fonte
2

Il migliore sarebbe non condividere le password e delegare l'accesso agli account condivisi ai singoli account laddove richiesto.

Tuttavia, poiché ciò non è possibile in tutti i casi, la soluzione migliore che ho visto è un vault della password con cambio automatico della password:

  • Accedi al vault con le tue credenziali, ad es. Login di Windows.
  • Verifica la password con una chiara traccia di controllo e un motivo. Questo dovrebbe includere anche il ticket di supporto o l'e-mail di approvazione ecc. Che può essere successivamente abbinato in modo casuale in un audit casuale o automaticamente tramite un SIEM (approvazione, checkout e log delle azioni)
  • Esegui le azioni approvate
  • Verifica nuovamente la password (con 24 ore di controllo predefinito)
  • Il software cambia automaticamente la password del sistema su un valore casuale. Cambio di script per applicazioni ecc. Che devono utilizzare questa nuova password

Questo fornisce le proprietà di:

  • mantenimento della responsabilità individuale
  • con un unico account ben controllato dove è più vantaggioso di più account individuali, ad es. account di sistema, account di servizio, caselle di posta condivise
  • modifica immediata della password al momento del check-in garantisce che la popolazione che conosce la password condivisa non cresca

Ci sono molti strumenti su cui puoi farlo. Per una società più piccola può anche essere eseguita manualmente con e-mail ed Excel e script per generare la password che non è conosciuta dalla persona che sta cambiando la password

    
risposta data 26.06.2011 - 10:50
fonte
1

La migliore risposta è che non dovresti condividere le credenziali, dovresti avere credenziali separate, in particolare per scopi di controllo. Quindi, quando qualcosa è cambiato, o rimosso, o viene presa una decisione, è chiaro quale persona lo ha fatto, piuttosto che chiunque abbia accesso a un singolo accesso.

Oltre a ciò, se devi assolutamente condividere le credenziali, la condivisione di qualcosa come lastpass potrebbe funzionare meglio.

    
risposta data 25.06.2011 - 23:43
fonte
1

Ho già avuto lo stesso dilemma. Dato che attualmente lavoro da solo, non ho ancora deciso una soluzione, ma mi sono imbattuto in un servizio abbastanza vicino a quello che voglio: Passpack . Potrebbe essere quello che stai cercando anche.

    
risposta data 25.06.2011 - 23:50
fonte

Leggi altre domande sui tag