Come mantenere sicure le password dei siti Web tra i dipendenti? [duplicare]

Non puoi imporre l'oblio; se un dipendente potesse, a un certo punto, apprendere una password e averlo digitato nel corso del suo lavoro, potrebbe ancora ricordarlo anche quando non è più un dipendente, e non puoi costringerlo a "dimenticare".

Pertanto, l'unico modo per "distruggere" l'accesso di una password è di invalidare quella specifica password. Il modo "buono" è fare in modo che ogni impiegato abbia la propria password amministrativa. Il giorno in cui il dipendente lascia, invalidare questa password su tutti i siti in cui è attiva. Se il dipendente lascia alcune condizioni sfavorevoli, invalida la sua password cinque minuti prima e digli che è stato licenziato.

Se è necessario condividere le password a causa di alcune limitazioni tecniche (ad esempio alcuni software del sito che riconoscono solo una singola "password di amministratore"), l'unico modo per invalidare la password è modificarlo e dare la nuova password a tutti gli altri dipendenti.

Dal momento che ogni dipendente può finire con un sacco di password da ricordare, avrà bisogno di una sorta di sistema di archiviazione. Ho visto persone che usano questo prodotto e ne sono felice, ma non credo che questo sia l'unico dei suoi tipo.

La risposta "go-to" consiste nell'utilizzare le funzionalità del CMS che si sta sviluppando all'interno di quel particolare sito Web e creare un account, con password univoca, per ogni persona autorizzata a trovarsi all'interno di tale sito come sviluppatore. Gli utenti potrebbero quindi inserire queste password in un sistema centralizzato come DICEware o KeePass e andare ovunque con una password master. Il vantaggio è che usi ciò che ti viene dato. Il lato negativo sarebbe il dover spostare diversi CMS separatamente per l'amministrazione degli utenti di base, oltre a dover sopportare i diversi livelli di funzionalità forniti da ciascun CMS in termini di controllo e protezione del contenuto. Potrebbero esserci anche maggiori costi di sottoscrizione coinvolti nell'avere così tanti utenti, sia dalla tua parte che dai clienti.

La seconda risposta sarebbe quella di sviluppare un sistema centralizzato per controllare l'accesso a ciascuno dei vostri CMS; gli utenti accedono a questo sistema, che quindi fungerà da proxy pass-through per le funzionalità di modifica di tutti i siti Web controllati dai team utilizzando un singolo account per ogni CMS. Il lato positivo è un gateway e quindi un gatekeeper e, teoricamente, questo sistema può consentire, limitare e registrare qualsiasi cosa tu voglia riguardo alle azioni dell'utente. Il lato negativo è una maggiore complessità e il requisito che tutti i portali abbiano la possibilità di autenticare gli utenti in modo tale che persino l'attore che utilizza il sistema non possa apprendere le credenziali.

Un approccio ibrido è l'autenticazione tramite un provider OpenID. Richiedere a tutti gli utenti di creare un account GMail o un ID Google simile per il lavoro, che useranno per accedere a una sessione. I tuoi siti Web possono quindi essere registrati utilizzando Google, identificando l'utente CMS come utente di Google. Il vantaggio è un accesso, una volta. Lo svantaggio è che devi ancora accedere a ciascun CMS e abilitare o disabilitare gli account, perché non controlli l'accesso all'ID Google creato dall'utente. È possibile attenuarlo implementando il proprio provider OpenID a cui saranno indirizzati i siti Web, in base all'accesso di Active Directory dell'utente o ad un altro sistema di autenticazione centralizzato.

Suppongo che tu stia utilizzando lo stesso nome utente e password per tutti i dipendenti che devono accedere all'amministratore? In questo caso, consiglierei la creazione e l'account amministratore per ogni dipendente che ha bisogno di accesso. Quindi dimmi che gestisci mysite.com, crea i seguenti account amministratore:

Abe
Chuck
Employee to be terminated

Invece di avere un solo account "admin".

Quindi, quando un dipendente viene terminato, dovrai visitare tutti i siti a cui hanno accesso ed eliminare l'account.

Altrimenti, ogni volta che un dipendente viene terminato, dovrai cambiare tutte le password per i siti web che gestisci.

Vuoi davvero che i vari siti si fidino del tuo server di autenticazione e che ciascuno sviluppatore utilizzi le proprie credenziali. Il modo più semplice potrebbe essere utilizzare OAuth. In questo modo, l'account di ciascun sviluppatore su più siti sarà controllato da un singolo punto di chiusura. Possono utilizzare le proprie credenziali per accedere a qualsiasi sito di cui hanno bisogno, ma chiuderli è solo questione di disattivare il proprio account OAuth.

Assegna a ciascun sviluppatore il proprio account di amministratore su ciascun server e revocalo secondo necessità.

Potresti considerare uno strumento commerciale come Random Password Manager di Liebsoft o PasswordVault di Cyber-Ark. Forniscono un elenco verificabile di chi ha effettuato l'accesso alle password e cambiano le password su una base utilizzata. Puoi controllare l'accesso al vault con il tuo sistema di sicurezza esistente come Active Directory.