Лучшие практики для хранения производственных паролей для небольших групп

Question

Это не технический вопрос. Как небольшие организации хранят конфиденциальную информацию, которая должна передаваться нескольким лицам в безопасности, например, пароли root для рабочих серверов? Не все люди, которым необходим доступ, работают в одном и том же месте. Новые пароли можно распространять по телефону, но какие правила должны соблюдаться для членов команды при хранении паролей?

ОБНОВЛЕНИЕ: этот вопрос не о правильном использовании корневых паролей - это был только пример. Возможно, лучшим примером будет пароль SSL или любой другой пароль, который должен быть предоставлен людям, выполняющим административные задачи. Дело в том, что необходимо создавать и хранить корневые пароли и тому подобное, и, как правило, доступ должен иметь более одного человека, иногда эти люди работают в разных местах. Вопрос о протоколах хранения. Спасибо.

Answer 1

Вы не должны раздавать (или использовать) пароли root каким-либо серверам, производственным или другим. Вы не должны делиться паролями.

Люди должны войти в систему под своим именем (аутентификация) со своими паролями с идентификаторами пользователей ; это одна половина картинки.

При правильном входе в систему им должны быть предоставлены права (сторона авторизации изображения) в зависимости от ситуации. Вы можете использовать такие вещи, как sudo для общих целей ОС, механизмы прав внутри баз данных и т. Д.

Это две отдельные проблемы. Не пересекайте потоки!

Answer 2

Я лично рекомендую людям, сталкивающимся с подобными проблемами, использовать что-то вроде keepass или roboform для хранения паролей. Эти программы зашифровывают ваши пароли на флэш-накопителе с помощью мастер-пароля, который запоминает индивидуум, поэтому им нужно только запомнить мастер-пароль. В случае, если кто-то потеряет свой флэш-накопитель, у него будет окно времени, в которое он может сообщить о скомпрометированном флэш-накопителе и позволить вам сменить пароль. В зависимости от надежности мастер-пароля потребуется немного времени, прежде чем тот, кто похитил флэш-накопитель, сможет перехватить мастер-пароль для всех остальных сохраненных паролей.

Кроме того, избегайте использования какой-либо учетной записи более чем для 3 человек, если вообще ! Вместо этого рассмотрите возможность создания для каждого пользователя учетной записи с эквивалентным доступом. Если злонамеренный сотрудник имеет доступ к учетной записи, которая, как он знает, является общедоступной, им может быть более заманчиво совершать вредоносные действия, поскольку они знают, что вы не можете привлечь их к ответственности, поскольку это мог быть любой из нескольких человек, имеющих общую учетную запись.

Это также означает, что вам не нужно менять пароль каждый раз, когда кто-то выходит. Вместо этого вы просто отключаете / удаляете свою учетную запись. Поэтому, несмотря на то, что у вас больше учетных записей для управления, у вас меньше накладных расходов, когда кто-то уходит, поскольку вам не нужно уведомлять всех об измененном пароле.

Редактировать: О Roboform также имеет онлайн-службу синхронизации паролей через SSL. Таким образом, вы можете просто попросить людей восстановить пароли с помощью синхронизации. Это круто, когда ты привыкла к этому.

Answer 3

С появлением sudo нам редко нужно больше использовать пароль root. В моем старом магазине пароль root был написан на карточке, запечатан в конверт и заперт в ящике в зоне сисадминов. У тех, кому нужно было знать, были ключи от ящика.

Любой, кто открыл конверт, должен был сменить пароль и положить новый пароль в новый запечатанный конверт. Конверт открывали не часто.

Эта система, вероятно, действительно плохая профессиональная практика, но в небольшом магазине, где все все знали, она работала хорошо.

Answer 4

В лаборатории прототипов и НИОКР, где я раньше работал, были «стандартные» лабораторные пароли для таких вещей, как root, административный доступ к консолям, коммутаторы и т. Д. Они просты, легко запоминаемы и доступны для устного обращения всем, кому нужно их. В общем, если вы могли физически попасть в лабораторию, вы были уполномочены иметь эти пароли.

На заводе были построены и настроены новые системы для клиентов. Заказчик должен был выбрать все пароли, и они были напечатаны на наборе форм, которые были прикреплены к стойке с системами. Удаленный доступ предоставлялся по мере необходимости, а пароли отправлялись по электронной почте или передавались по телефону. Ожидалось, что клиент изменит эти пароли, как только система будет им доставлена.

В лабораториях ИТ и производства почти никто не имел root-доступа. Почти у всех был доступ sudo с неограниченными возможностями и только с возможностью монтирования виртуальных файловых систем ... в зависимости от человека и системы. Было очень редко получить доступ к sudo для запуска оболочки от имени пользователя root. Это оставило очень четкий журнал всех команд, которые вы запускали от имени пользователя root. Этот журнал использовался, чтобы смолить и обработать больше чем один человек за эти годы.

В службе поддержки / поддержке, которую я выполнял много лет назад, каждый эксперт по инструментам выбирал свои собственные административные пароли. Они были записаны в конверте, который был заперт в сейфе в машинном отделении. Если кому-то требуется доступ администратора, он может открыть конверт, прочитать пароль и отметить в журнале, что он знает пароль, а затем повторно запечатать пароль в конверте. Владелец инструмента должен был решить, нужно ли менять пароль. Эта система использовалась более 5 лет ... и в одном случае фактически помогла проекту пережить «тест на автобус» (сердечный приступ) для одного члена команды.

Различные стандарты для различных типов систем и лабораторий. Это разумно. Я считаю, что когда пароли должны быть разрозненными, лучше всего, если пароль прост, короток и сообщен в устной форме (лично или по телефону). Я считаю, что единственным паролем, который никогда не следует передавать, является пароль для моей личной учетной записи. Любые пароли, относящиеся к root / admin / tool, должны быть сохранены как минимум в одной другой главе ... если не записано каким-либо образом

Answer 5

Будьте реалистичны. Нравится вам это или нет, но люди в небольших командах собираются писать пароли на заметках, обмениваться мгновенными сообщениями или испытывать искушение написать им по электронной почте, особенно когда они не видят угрозы.

Одна мера, которую я нашел полезной для небольших групп, - установить протокол обфускации.

Например, все пароли, переданные или сохраненные с помощью голосовой почты, электронной почты, чата или бумаги, будут иметь 1) порядок их персонажей обратный 2) случайный символ или слово, помещенное между каждым символом пароля 3) фонетически произносимые символы пароля.

Например:

Пароль: VMaccp @ ss1

Обфусцировано: один 2 es df es 23 в sd pee fd, см. Dfs, смотрите fxz ay df EM sd VEE

Ключ заключается в том, чтобы установить какую-то кодировку, которую практически невозможно определить, не зная протокола, который легко запомнить.

Имейте в виду, что это для небольших групп без защиты жизни или смерти. Очевидно, что для более крупных групп или тех, кто защищает чрезвычайно чувствительные финансовые данные, более уместны более громоздкие меры.

Answer 6

вы можете использовать программу наподобие anypasswordpro ​​для обмена паролями. Он зашифрован и имеет уровни доступа:)