Una società di sviluppo software con cui lavoro ha un prodotto basato sul Web che sta vendendo con successo ai clienti. Tutti questi clienti hanno un accordo di supporto con noi che generalmente ci impone di accedere ai loro server, database e dati delle applicazioni. Con la crescita del numero di clienti (e il numero di persone diverse che supportano questi clienti), vediamo la necessità di gestire meglio in particolare le password , ma più in generale tutte le informazioni di cui avremmo bisogno per supportare i sistemi client ie. URL, dettagli di accesso alle applicazioni, indirizzi IP, materiale strano specifico del cliente ecc. Ecc. Questi dati stanno cambiando su base sempre più rapida, poiché i sistemi vengono spostati su macchine diverse, indirizzi IP. Il problema peggiore sono le password di superutente per le applicazioni. Questi sono in continua evoluzione e occasionalmente ci troviamo in una situazione in cui nessuno sembra sapere chi ha apportato il cambiamento più recente.
Questa è chiaramente una situazione insoddisfacente. Esistono procedure che dicono che le modifiche alla password, ecc. Devono essere documentate in un luogo sicuro centrale. Ma naturalmente, le persone che sono esseri umani, a volte dimenticano di documentare queste cose. Il pericolo è che quando le persone sono così stufe del caos delle password, si può finire con una situazione in cui la password di tutti è " password123 " perché non possono più essere infastiditi.
Oltre all'applicazione delle procedure, quali altri approcci potremmo adottare? Un suggerimento che ho sentito è stato quello di avere un superutente dell'applicazione "nascosto" la cui password è facilmente ricordata / derivata, che solo il personale di supporto potrebbe conoscere al riguardo. Personalmente ritengo che la soluzione sia un buco di sicurezza spaventoso, specialmente quando si utilizzano più client per il proprio software.
Quindi, come gestiresti questa situazione se avessi supportato più client? Applicazione più rigorosa delle procedure o un approccio tecnico per rendere la vita più facile a tutti?