Sto cercando politiche / linee guida per le aziende che dispongono di amministratori di password per i siti Web necessari in modo che la gestione possa accedere ai diritti di amministratore in caso di emergenza.
Una password personale deve essere conosciuta solo da una persona. Questo in una delle sacre regole è la sicurezza, e non rispettarla potrebbe causare più danni che aiutano.
Detto questo, in una azione chiave è consentito un solo account, un vecchio ma valido utilizzo è che il proprietario dell'account scrive le sue credenziali su un foglio, lo mette in un involucro sigillato e deposita la busta nella sua azienda sicuro. In questo modo, se per qualsiasi motivo, l'azienda ha bisogno di utilizzare l'account quando l'utente normale non è disponibile, è sufficiente designare un nuovo proprietario dell'account, consegnargli la busta e chiedergli di cambiare immediatamente la password e depositare quella nuova in una busta nella cassastrong.
Non sottovalutare mai i buoni vecchi modi fisici ...
Nel contesto aziendale, l'aspettativa è che qualsiasi sito Web / applicazione dovrebbe consentire a più utenti uguali di livello superiore (amministratori) su tutto il contenuto. Gli amministratori dovrebbero essere in grado di disattivarsi a vicenda. Gli amministratori non devono condividere password (credenziali).
Il vault viene fornito per queste app carenti che richiedono un'unica password di primo livello. Se si tratta di un'implementazione software di Vault, proporrei questa pratica:
Purtroppo l'integrazione del vault non è possibile per alcuni usi come una password di root di Linux. In alcuni casi critici, Linux richiede che la password di root sia immessa sulla tastiera fisica: è assolutamente impossibile integrarla senza rivelare la password agli umani. Quindi questo richiede procedure sostanzialmente più deboli, come proposto da Serge.
Dai un'occhiata al caveau di hasicorp. Può essere fatto per annullare la chiusura solo se un numero minimo di persone inserisce le proprie chiavi. Una volta aperti, puoi gestire i tuoi segreti e sigillarli di nuovo in seguito. Se si desidera avere accesso completo a una persona, inserire le informazioni importanti in un file di testo in chiaro e crittografarle con RSA. Stampa la chiave privata protetta da password su carta e comunica al tuo capo la password. Se dovessi essere colpito da una toilette che cade dallo spazio, il boss inserirà la chiave privata su un computer, userà la password che gli hai detto di ricordarsi di decrittografarla, e quindi userà la chiave privata decrittografata per decodificare il tuo file di password in chiaro. Usando la tua chiave pubblica puoi aggiornare il file in modo sicuro in qualsiasi momento.
Leggi altre domande sui tag password-management password-policy