Utilizzo di un accesso in automazione

2

Mentre lavoravo a un contratto per un'azienda che ha bisogno di sicurezza dei dati, ho trovato uno script python che una persona precedente aveva realizzato e che utilizzava i dettagli di login memorizzati localmente in testo normale. Su una rete di circa 200 utenti, 7 dei quali hanno accesso a questo file, quanto è pericolosa questa pratica? C'è un modo per rendere sicuro questo sistema senza che l'utente inserisca i propri dettagli di accesso ogni volta che eseguono il programma? Idealmente questo script viene eseguito in background fino a quando il computer è acceso, c'è qualche rischio associato alla memorizzazione della password in memoria per quel tempo?

    
posta Technolibre 12.06.2018 - 16:03
fonte

2 risposte

1

In precedenza, quando lavoravo con permessi automatici, di solito usavo un accesso di gruppo controllato. Con solo una manciata di persone che hanno accesso al file, direi che non è "pericoloso" di per sé, ma non è una buona pratica. Nella mia esperienza passata lasciandomi sfuggire qualcosa di simile (credenziali di testo semplice), diventerà un problema aggiornare e sostituire in seguito quando diventerà un problema. Sarebbe meglio occuparsene ora più tardi. Dato che hai menzionato questa società che ha bisogno di sicurezza dei dati, direi che questo caso specifico si applica e dovrebbe essere affrontato.

Ci sono molti modi in cui puoi fare questo - dipende da cosa hai accesso o cosa hai già costruito. Implementazione di un file che può essere importato nello script, che contiene nomi utente come parte di gruppi specifici. Quindi, autorizzare solo i gruppi appropriati a eseguire il file / login. Dipenderebbe anche dall'ambiente / sistema operativo su cui si sta eseguendo. Vorrei esaminare Python Keyring come se fosse in grado di implementarlo in linea con lo script.

Ovviamente seguendo questa strada, ci si troverebbe in una situazione simile in cui si dovrà bloccare anche il file delle autorizzazioni, consentendo solo alle persone chiave di accedere a modificare il suddetto file. Un'alternativa sarebbe l'utilizzo di SQL e la creazione di una tabella di credenziali basata su utenti che dovrebbero avere accesso, in cui le autorizzazioni funzionerebbero in modo simile (se queste persone specifiche esistono in questa tabella, consentire l'accesso). Questo potrebbe essere semplice come nome utente / ID utente e non deve includere password. Funzionerebbe anche un confronto con Windows Active Directory. Questi sono alcuni esempi generali in quanto non sono sicuro di quale ambiente si sta eseguendo, o se ci sono misure attualmente esistenti che potrebbero essere utilizzate.

Tornando alla tua domanda, ti consiglio di implementare una soluzione. Anche qualcosa come la creazione di una password crittografata - qualsiasi cosa per sbarazzarsi di testo normale sarebbe un vantaggio.

    
risposta data 12.06.2018 - 17:07
fonte
0

how dangerous is this practice?

Lo script controlla il bollitore o il sistema di puntamento del missile?

Sebbene la crittografia delle password possa sembrare che abbia alcuni vantaggi, ciò significa solo che è necessario trovare un luogo sicuro in cui archiviare la chiave di crittografia anziché la stessa password.

Is there any way to make this system secure?

Probabilmente è possibile renderlo più sicuro - ma non ci hai detto nulla sul sistema operativo, né su come viene utilizzata la password. Né quali sono i modelli di minacce (ad esempio, si desidera escludere questo file dai backup). Ci sono permessi, escalation dei privilegi controllati (sudo), crittografia file / filesystem, Linux ha strutture per la gestione dei segreti , così fa MS-Windows . MS-Windows può memorizzare le credenziali in modo sicuro (ed esporre i modi di richiamare la funzionalità, ad esempio tramite l'utilità di pianificazione). Potresti uscire e acquistare una piattaforma di gestione di accesso privilegiato come CyberArk. Hanno tutti costi, vantaggi e svantaggi diversi.

    
risposta data 12.06.2018 - 17:53
fonte

Leggi altre domande sui tag