Memorizza molte password a cui i diversi livelli di dipendenti devono accedere

Innanzitutto, per quanto possibile è necessario passare a qualcosa come Windows Active Directory o LDAP * per le autorizzazioni interne. In questo modo, gli utenti ottengono le autorizzazioni in base a un repository centrale, non conoscono le password degli altri utenti e puoi controllare chi è in grado di - e chi lo ha fatto - di accedere a cosa.

Immagino che tu non sia in un settore regolamentato (se lo sei, sei nei guai). Anche in questo caso, l'attuale configurazione della tua azienda condivide tutte le password con Dropbox, chiunque abbia accesso ai dati o ai backup di Dropbox e potenzialmente con qualsiasi azienda che successivamente si fonda o acquisisce Dropbox. Questo può o non può essere un argomento a cui importa a nessuno.

Cambiare le password è un grosso problema, e ogni volta che qualcuno se ne va, DOVREBBE cambiare le password - perché qualcuno che non ha un lavoro o sotto contratto ha accesso alle risorse aziendali? È anche peggio se se ne andassero in circostanze tutt'altro che amichevoli.

Dopo aver finito con l'integrazione AD o LDAP, ci saranno ancora sistemi che non sono integrati. Per quelli, sono un grande fan di KeePass **. I dipendenti possono avere un file KeePass "personale", che è il loro principale e detiene account specifici per persona - che dovrebbero essere utilizzati il più possibile, in modo che possano essere disabilitati quando le persone escono e quindi le azioni possono essere controllate

• DOVRESTI monitorarlo e agire seriamente quando vedi dipendenti che condividono password. Questa è una pratica molto comune in piccole aziende non regolamentate e causa problemi in seguito (audit falliti, clienti che fanno domande difficili sui propri audit, regolamento futuro, e di nuovo il costo di cambiare ogni password che ogni ex dipendente sa).

• Se il tuo datore di lavoro ama davvero Dropbox, è disponibile l'integrazione KeePass , nonché l'integrazione con FTP, SFTP, ecc. .

  • Chiedete loro qual è il loro piano per volte Dropbox è inaccessibile (essendo DDoS) o improvvisamente fallisce (se Enron, Lehmen Brothers e Lavabit possono sparire durante la notte, così può Dropbox)

I dipendenti possono anche avere condiviso i file KeePass se assolutamente richiesto - fa un buon lavoro di gestire alcune persone che aprono e modificano lo stesso file .kbdx contemporaneamente, unendo gli aggiornamenti, oppure puoi usare il comando Sincronizza. Le password e i file di chiavi utilizzati per aprire questi file condivisi di KeePass dovrebbero essere mantenuti nel minor numero possibile di persone, i contenuti dovrebbero essere mantenuti il più minimali possibili e tu cambierai nuovamente password e file di chiavi ogni volta che qualcuno li conosce.

• Ancora una volta, imposta account individuali in ogni punto che può essere fatto. Quando devi investigare su qualcosa (chiamalo un problema di produzione, o forse una frode), questo è fondamentale.
• Per qualsiasi database KeePass condiviso, usa un file di chiavi generato casualmente se la gestione è d'accordo, ma anche le password lunghe (35 caratteri o più) generate casualmente da KeePass stesso; i dipendenti mantengono le password condivise nel loro database personale KeePass e le password DEVONO essere così lunghe e casuali da rendere onestamente oneroso che gli impiegati le digitino a mano.
  • In questo modo, non c'è alcun incentivo a scriverlo; ci vuole sempre ed è un dolore scrivere comunque
  • È possibile utilizzare anche caratteri ASCII elevati, come il simbolo del copyright o caratteri accentati, rendendo ancora più difficile per i dipendenti prendere l'abitudine di utilizzare account di superuser condivisi senza passare per il proprio documento KeePass.

* Per un esempio di Linux, vedere la domanda "come configurare il mio sistema RHEL5 o RHEL6 per utilizzare ldap per l'autenticazione?"

** Quando imposti il tuo database KeePass, o in seguito se qualcun altro lo fa, assicurati di andare in File, Impostazioni database e fai clic sul pulsante per il numero di round di un secondo. Aumentalo da lì come meglio credi, ma farlo anche su una macchina molto lenta aumenta significativamente la tua sicurezza - di solito uso da milioni a decine di milioni di colpi, poiché un secondo o cinque non importa rispetto al risparmio di velocità di la funzione di tipo automatico.

Risposta di base: non farlo!

Our current model at my employer is fundamentally flawed in my opinion

La tua opinione è completamente corretta. Memorizzare le password in un file come questo è A Very Bad Thing. Anche le password anti-deboli sono corrette: la prima cosa che dovresti fare in questa situazione è implementare una "corretta" infrastruttura di controllo degli accessi aziendale. Per il 99% delle aziende, questo è MS Active Directory, anche se ci sono valori anomali coraggiosi che vanno con altre opzioni. Ma - per essere brutalmente onesti - sembra che implementare correttamente AD sarà una sfida per la tua azienda, quindi non pensare nemmeno alle alternative, che sono più difficili.

Il concetto critico qui è che l'autorizzazione a fare qualcosa dovrebbe essere associata a un ruolo o appartenenza al gruppo nella directory, e non con un insieme specifico di credenziali dell'utente. Ad esempio, potresti avere la situazione in cui Lisa è l'unica persona che dovrebbe avere il permesso di contrassegnare un dipendente come "Terminato" nel tuo sistema di gestione delle risorse umane. Ma devi considerare Lisa come transitoria: potrebbe smettere in qualsiasi momento. Quindi non leghi il tuo sistema di autorizzazione a Lisa . Invece, crei un gruppo chiamato (diciamo) Firers nella tua directory e aggiungi Lisa a quel gruppo. Quindi le tue applicazioni devono solo verificare se l'utente corrente si trova nel gruppo Firers e non se sono Lisa .

Se lo fai correttamente, non dovrai preoccuparti di sistemi di gestione delle password esterni come 1Pass o KeePass. Queste cose hanno il loro posto, certamente, ma non è nel sistema di controllo accessi interno di un'organizzazione.