I nomi host hr.company.com e testing-apps.hr.company.com non causeranno la corretta segregazione del modello di sicurezza del browser - è possibile che hr.company.com imposti cookie che possono essere letti da testing-apps.hr.company.com e testing-apps.hr.company.com sarà in grado di impostare i cookie su il dominio hr.company.com . Quindi devi fidarti sia di hr.company.com sia di testing-apps.hr.company.com per poter usare entrambi, quindi si potrebbe sostenere che LastPass accidentalmente completare i dettagli della password su una sola applicazione non è un grosso difetto: l'ambiente di test dovrebbe essere completamente dominio separato per prevenire eventuali vulnerabilità rilevate dall'esposizione del dominio attivo. Inoltre, le password non dovrebbero mai essere archiviate in file di log, quindi mentre potrebbe essere considerato un piccolo bug (forse dovrebbe richiedere prima di compilare un modulo su un sottodominio diverso), non è un enorme punto debole di sicurezza in sé stesso - l'applicazione web sottostante deve essere fidati, che include considerando il modello di sicurezza del browser. Potrebbe essere che testing-apps.hr.company.com sia disponibile solo internamente. tuttavia ciò potrebbe consentire a un utente malintenzionato locale di compromettere l'account live di un altro dipendente utilizzando un difetto nella versione di prova.
In questo caso puoi rendere questo particolare gestore di password più sicuro tramite la configurazione. per esempio. disabilitando il riempimento automatico, e c'è anche un'opzione nelle impostazioni denominate Regole URL . Qui puoi impostare se il nome host deve essere una corrispondenza esatta. Non puoi impedire alle persone di usare software in modo non sicuro, puoi solo guidarli ed educarli, come hai sottolineato.
My question is this: These can't be the only examples of unsafe use of password managers. What other gotchas are out there? Can anyone recommend guidelines for safe use of password managers in an organization?
Ci saranno dei difetti in tutte le applicazioni, a livello aziendale o meno. Il vantaggio dei gestori di password basati su browser è che è in grado di proteggere dagli attacchi di phishing. L'URL è convalidato e come impostazione predefinita verranno completate solo le credenziali salvate per quell'URL. Se questo è qualcosa su cui si vuole proteggere, sarà necessario utilizzare un gestore di password basato su browser. Se si utilizza un browser basato su un rischio troppo elevato, è possibile utilizzare un'applicazione separata, ma è necessario accettare che un utente inconsapevole acceda accidentalmente a un sito Web errato, che sia malevolo o meno, esponendo potenzialmente le proprie credenziali di accesso a un terzo partito.
Le linee guida specifiche saranno diverse a seconda del software utilizzato e di come vengono utilizzate le password all'interno dell'organizzazione, nonché dell'organizzazione stessa. Per esempio. l'organizzazione si fida del cloud o tutto è fatto in casa? Memorizzare i dati della password su server interni fidati potrebbe essere migliore, tuttavia l'organizzazione sta quindi assumendo il lavoro supplementare per assicurarsi che l'infrastruttura sia protetta in modo corretto e assicurare che i dati siano crittografati correttamente e le chiavi di crittografia siano archiviate in modo sicuro.