In cerca di password manager in azienda [duplicato]

2

Stavo cercando una soluzione ovunque, ma forse perché la mancanza di parole specializzate non riesco a trovarla.

Ho un problema nel trovare un programma, ma non so come descriverlo in una parola quindi lo descriverò in modo completo:

In azienda esiste una situazione normale in cui alcuni lavoratori devono conoscere login / password per i collaboratori esterni (ad esempio fornitori, banche). Per queste società ha un solo login / password (perché identifica la compagnia, non i suoi lavoratori). Tuttavia c'è un problema quando il lavoratore viene licenziato. Lui / Lei conosce la password quindi c'è il pericolo che lui / lei possa fare danni. Quindi sto cercando un programma che memorizzerà tutte le password aziendali e concederebbe ai lavoratori solo la possibilità di accedere al sito con login / password ma senza mostrarli.

So che è già un argomento simile ma, per quanto comprendo, è più simile alla gestione della password all'interno dell'azienda.

Grazie in anticipo per qualsiasi aiuto!

    
posta PastorPL 11.01.2013 - 11:16
fonte

5 risposte

6

in primo luogo, è una cattiva politica avere password non individuali e la prima cosa da fare sarebbe quella di impostare account individuali per gli utenti.

Se il fornitore non può farlo - allora un'azione alternativa sarebbe quella di impostare un semplice modello di trust federato in cui gli utenti non accedano mai al sito di terze parti ma semplicemente "single sign on" al sito utilizzando un modello di trust federato. Esistono standard di settore come SAML2 che consentono a te (e alla tua azienda) di mantenere la gestione dell'identità (compresi i joiners / leavers / mover).

Chiaramente questo funzionerà solo se non si consente il normale accesso al sito di terze parti. Il mio cliente fa questo con ogni sito SaaS che i suoi impiegati usano.

google per: Federation, SAML2, Single Sign On federato.

    
risposta data 11.01.2013 - 11:31
fonte
2

La pratica abituale è duplice:

  • Limita il numero di password condivise al minimo possibile.
  • Quando un dipendente viene terminato, cambia e condivide la password che conosceva.

La soluzione che stai cercando - una sorta di estensione per browser che memorizza le password crittografate per i siti condivisi e poi, sull'autenticazione dell'utente, usa la password condivisa per accedere - sarebbe fantastico per la tua situazione, ma ha il problema che l'utente finale è affidabile (nel senso tecnico del termine, che è che ha per fidarsi di loro dato che hanno accesso fisico al computer).

    
risposta data 11.01.2013 - 11:39
fonte
1

Vorrei esaminare Lastpass . Ogni utente ha il proprio account e il login univoco per lastpass. Si crea un account principale, che ha tutti gli accessi aziendali. È possibile condividere gli accessi e scegliere di nascondere o mostrare la password agli altri utenti.

Devo avvertirti che è abbastanza facile per un utente ottenere comunque la password. Con alcune competenze IT, è possibile copiare la pagina di accesso su un server Web locale, come Apache installato su un computer locale. Cambia il file hosts in modo che il nome del dominio dell'azienda venga indirizzato a localhost, serva la pagina di accesso salvata al browser e Lastpass probabilmente inserirà la password lì. Con alcune abilità di scripting puoi rivelare la password. (Disclaimer: non ho testato l'hacking localhost, ma sono abbastanza sicuro che funzioni così.)

Con l'opzione della password condivisa esiste un'alternativa migliore. Quando un dipendente lascia la società, si elimina la condivisione, si richiede una nuova password e la si modifica nell'account principale. Il login viene quindi aggiornato per tutti gli account condivisi rimanenti.

    
risposta data 03.11.2014 - 12:54
fonte
0

Devo essere d'accordo con Callum - i conti non personali sono una cattiva pratica.

Se davvero non puoi cambiare qualcosa al riguardo - o potrebbe volerci del tempo per arrivarci - dai un'occhiata a:

link

una caratteristica di esso:

"Condividi e distribuisci facilmente le credenziali in modo sicuro Utilizzando la funzionalità Dual Master Password, gli utenti avranno la possibilità di utilizzare le credenziali senza conoscere le password sicure della propria organizzazione "

... e no, non ho alcun interesse finanziario in questo;)

    
risposta data 11.01.2013 - 12:06
fonte
0

Se non mi sbaglio Secret Server è un prodotto che ti consente di utilizzare l'accesso al ruolo e nascondere la password effettiva, a meno che tu non abbia il diritto di vederlo. È comunque possibile utilizzare la password poiché i client per RDP, Putty e Web sono integrati. In questo modo l'utente può UTILIZZARE la password ma non vedere la password. Rende più facile, dal momento che non devi cambiare ogni singola password ogni volta che qualcuno lascia il lavoro. Copiato dalla Guida dell'utente per il server segreto:

Secret Server's Launcher opens a connection to the remote computer or logs into a website using the Secret's credentials directly from the Web page. While this provides a convenient method of opening RDP and PUTTY connections, it also circumvents Users being required to know their passwords. A User can still gain access to a needed machine, but is not required to view or copy the password out of Secret Server. The Web Launcher will automatically log into websites using the client’s browser.

    
risposta data 12.01.2013 - 11:28
fonte

Leggi altre domande sui tag