Insanity password! Approcci consigliati alla gestione delle password su più sistemi client? [chiuso]

4

Una società di sviluppo software con cui lavoro ha un prodotto basato sul Web che sta vendendo con successo ai clienti. Tutti questi clienti hanno un accordo di supporto con noi che generalmente ci impone di accedere ai loro server, database e dati delle applicazioni. Con la crescita del numero di clienti (e il numero di persone diverse che supportano questi clienti), vediamo la necessità di gestire meglio in particolare le password , ma più in generale tutte le informazioni di cui avremmo bisogno per supportare i sistemi client ie. URL, dettagli di accesso alle applicazioni, indirizzi IP, materiale strano specifico del cliente ecc. Ecc. Questi dati stanno cambiando su base sempre più rapida, poiché i sistemi vengono spostati su macchine diverse, indirizzi IP. Il problema peggiore sono le password di superutente per le applicazioni. Questi sono in continua evoluzione e occasionalmente ci troviamo in una situazione in cui nessuno sembra sapere chi ha apportato il cambiamento più recente.

Questa è chiaramente una situazione insoddisfacente. Esistono procedure che dicono che le modifiche alla password, ecc. Devono essere documentate in un luogo sicuro centrale. Ma naturalmente, le persone che sono esseri umani, a volte dimenticano di documentare queste cose. Il pericolo è che quando le persone sono così stufe del caos delle password, si può finire con una situazione in cui la password di tutti è " password123 " perché non possono più essere infastiditi.

Oltre all'applicazione delle procedure, quali altri approcci potremmo adottare? Un suggerimento che ho sentito è stato quello di avere un superutente dell'applicazione "nascosto" la cui password è facilmente ricordata / derivata, che solo il personale di supporto potrebbe conoscere al riguardo. Personalmente ritengo che la soluzione sia un buco di sicurezza spaventoso, specialmente quando si utilizzano più client per il proprio software.

Quindi, come gestiresti questa situazione se avessi supportato più client? Applicazione più rigorosa delle procedure o un approccio tecnico per rendere la vita più facile a tutti?

    
posta TrojanName 23.08.2011 - 10:36
fonte

4 risposte

4

Ho lo stesso problema con tutti i siti web che visito personalmente, i miei dati bancari sono molto importanti per me!

quindi utilizzo Keepass che è un piccolo DB di password e informazioni associate. Metti tutte le tue password e dettagli IP, ecc. È facile da usare e molto sicuro - puoi quindi fornire una sola password per supportare il personale (e / o un file chiave) che usano per aprire il file db.

Quindi inserisci il db in un sistema di controllo della versione, quindi devi verificarlo per modificarlo. Questo aggiunge un livello di "chi ha fatto cosa" al file, ma anche (se impostato a destra) consente loro di controllarlo da remoto e ottenere sempre l'ultima versione, pur essendo al sicuro in ambienti non sicuri (es. Se vado sul posto, vorrei essere in grado di ottenere l'ultima versione su Internet, o una VPN).

Non impedirà alle persone di cambiare la password sul sito e di non dirlo a nessuno, ma nulla risolverà il problema a meno di "processi umani" (e una poppa che parla dal capo se non si conformano).

In breve: non esiste un modo semplice per risolvere il problema delle persone che non dicono agli altri quello che hanno fatto. L'unico approccio tecnico che aiuta in questo caso è quello di fornire un sistema centrale facile da modificare e leggere, in modo che le persone prendano l'abitudine di usarlo.

    
risposta data 23.08.2011 - 15:02
fonte
2

Controlla Server segreto - è stato creato da una società di software per risolvere solo questo tipo di problema - qualsiasi tipo di segreto può essere memorizzato in modo sicuro e c'è spazio per alcune note locali.

Se hai bisogno di maggiori informazioni, ti consiglio una wiki e forse un tracker dei problemi. Scopriamo che il redmine gestisce perfettamente questo problema, in quanto il tracker / wiki dei problemi integrato aiuta a nutrirsi da solo.

    
risposta data 23.08.2011 - 15:30
fonte
0

Se tutti i tuoi siti web hanno un sistema di autenticazione centralizzato, non sarebbe troppo difficile fare la cosa del "superutente" in modo sicuro. Cioè, insieme a un sistema di sicurezza basato sui ruoli, potresti creare un " ruolo " superutente "a cui tutto il tuo personale di supporto verrebbe aggiunto, e ciascun sito web che sviluppi esplicitamente consente l'accesso" amministratore "a chiunque nel ruolo di superuser.

    
risposta data 24.08.2011 - 13:33
fonte
0

Suggerisco di utilizzare un'applicazione o uno strumento di gestione dei documenti che consente di conservare i dettagli su ciascun cliente in 1 o più documenti. Quindi crei le regole di sicurezza per accedere a ogni tipo di informazioni o ogni cliente. Chiedere a un supervisore di eseguire un controllo su base periodica per assicurarsi che le informazioni siano documentate e che le informazioni documentate siano corrette (testandole). Avere un amministratore per gestire questa applicazione.

    
risposta data 23.08.2011 - 13:41
fonte

Leggi altre domande sui tag