Quali vantaggi offre Secret Manager in termini di autenticazione [utilizzo API]?

Question

Quali vantaggi offre Secret Manager in termini di autenticazione [utilizzo API]?

#1 da (0 voti)

1

Il problema che sto riscontrando con i gestori segreti (programmi che fungono da archivio di segreti per altri programmi / API) è che a un certo livello, una chiave o le credenziali devono ancora essere fornite a livello di codice, quindi il problema originale non è completamente risolto perché se quella chiave / credenziali "master" non viene trasmessa in modo insicuro, archiviata nel codice sorgente o altrimenti compromessa, dopodiché compromette i segreti.

Qualcuno che è leggermente più istruito sull'argomento commenta come i manager dei segreti affrontano il problema dell'autenticazione o altrimenti lo rendono più sicuro rispetto all'autenticazione con chiave API tradizionale?

Alcuni sistemi di esempio: Thycotic Secret Server, Amazon Secrets Manager, Hashicorp Vault.

password-management key-management

posta the_endian 09.10.2018 - 23:59

fonte

1 risposta

Leggi altre domande sui tag password-management key-management

Durata ESP limitata nel programma di esempio C con sovraccarico del buffer System Encryption With Veracrypt / Truecrypt- Qual è la differenza tra Wipe Mode "None" e 3 pass, 1 pass ecc.?

score 0 · Answer 1

Dipende sempre da quanto è critico il tuo software.

Software
Sì, la maggior parte delle volte è ancora necessario fornire una chiave o credenziali a un certo punto, a livello di codice, o dando accesso a un file solo a un servizio specifico e tale file contiene il segreto. Se scegli uno di questi modi, è importante cancellare il valore dalla memoria il prima possibile (immediatamente dopo l'autenticazione se questo è il tuo scopo).
Se il tuo scopo è la crittografia o la firma digitale, puoi sempre utilizzare la crittografia a chiave pubblica, fornire al software la chiave pubblica (e utilizzarla per la crittografia / firma digitale) e utilizzare in qualche modo (offline / archiviato separatamente) la chiave privata.

Hardware
Se ti puoi permettere l'hardware, allora una soluzione potrebbe memorizzare il master secret su un dispositivo separato che sei sicuro che non sarà compromesso e associare quel dispositivo a un server in una gabbia protetta / centro dati.