Frage:
Passwortverwaltung innerhalb einer Organisation
Mark Davidson
2010-11-23 18:27:20 UTC
view on stackexchange narkive permalink

Innerhalb einer Organisation gibt es viele Kennwörter, z. B. für Root-Konten auf Servern, Hosting-Konten, Router-Anmeldungen und andere solche Dinge, die nachverfolgt werden müssen.

Ich weiß, dass in einigen Organisationen entweder der IT-Leiter nur diese Kennwörter kennt, die Kennwörter an einer bestimmten Stelle notiert sind, in einem Wiki hinter einem Login gespeichert sind oder Kennwörter in einer Datei gespeichert sind ein Server (möglicherweise verschlüsselt).

Meine Frage ist einfach, wie diese Kennwörter am effektivsten verwaltet und Kennwörter sicher gespeichert werden können. Ich weiß, dass dieses Thema bereits in Bezug auf einen Heimanwender hier erörtert wurde, aber ich bin speziell daran interessiert, wie ich es für mittlere bis große Unternehmen am besten angehen kann. Es würde mich auch interessieren zu hören, welcher Ansatz in Organisationen anderer Völker verwendet wurde, auch wenn er nicht der effektivste ist.

Sprechen Sie zur Verdeutlichung nur über privilegierte Benutzer, einzelne / gemeinsam genutzte Benutzer oder die Benutzer- / Identitätsverwaltung im Allgemeinen?
Ich entschuldige mich, dass ich klar genug war. Ich spreche von Kontodetails für Systeme und Geräte, für die ein Benutzer keine eigenen ausgestellt haben kann und die nicht mit einem anderen Anmeldesystem verwaltet werden können, da er keine Kontrolle über sie hat. Privilegierte Benutzer sollten jedoch auf die Kennwörter zugreifen können andere Leute sollten offensichtlich nicht dazu in der Lage sein. Hoffe das macht mehr Sinn.
Also, gemeinsam genutzte Benutzer / Einzelbenutzermodus. In der Tat anderes Problem ...
Ich bin immer noch auf der Suche nach einer wirklich guten Antwort auf diese Frage, also habe ich ein Kopfgeld hinzugefügt. Um sicherzustellen, dass es absolut klar ist, suche ich nach einer Lösung, die Passwörter für Geräte / Programme speichert, bei denen Sie ein Passwort verwenden müssen, auch wenn Sie dies nicht möchten. Zum Beispiel Router, einige Firewalls, Hosting-Konten usw. Diese Passwörter sollten nur Administratoren zugänglich sein.
[1Password] (https://agilebits.com/onepassword) ist ziemlich fantastisch und plattformübergreifend. Es gibt auch spezielle Bestimmungen für Datenbanken, Server und so weiter. Sie können einen 'Valt' erstellen, der mit Dropbox (und Google Drive und iCloud, wenn ich mich richtig erinnere) geteilt und daher global aktualisiert werden kann. Ich bin sicher, es ist nicht nötig, die Einschränkung hinzuzufügen, dass ein Passwort niemals "vergessen" werden kann.
Suchbegriff, der mir einige gute Treffer bringt: Open Source Secret Management
Elf antworten:
Tok
2010-11-29 20:03:57 UTC
view on stackexchange narkive permalink

Obwohl ich viele Implementierungen von Lösungen für dieses Problem gesehen habe, glaube ich, dass das vollständigste, wenn nicht sogar das bequemste ein Git-Repository war, das auf Superuser beschränkt war, die nur verschlüsselte Textdateien mit Passwörtern nach Umgebung enthielten. Das Verwalten der Kennwortrotation auf Geräten, gemischten Servern und dedizierten Geräten wie Modems wurde separat behandelt.

Diese Lösung vereinfachte die Verteilung neuer Kennwörter erheblich, da Benutzer ein einfaches Update durchführen mussten, um das Kennwort zu erhalten Letzte Überarbeitung der Passwörter sowie Bereitstellung eines nachvollziehbaren Verlaufs früherer Passwörter für die Aufzeichnung.

Soweit ich mich erinnere, waren die Dateien GPG-verschlüsselt, aber es gibt zahlreiche Lösungen und praktikable Ansätze für den Umgang mit den Dateien selbst.

Der offensichtliche Nachteil dieses Ansatzes besteht darin, dass Sie, insbesondere wenn sich Kennwörter geändert haben, eine oder mehrere Dateien entschlüsseln, um nach den erforderlichen Kennwörtern zu suchen. Je häufiger Sie ein Kennwort verwenden, desto wahrscheinlicher ist es natürlich, dass Sie es sich merken. Je nach Gerät (en) kann der Zugriff ein seltenes Ereignis sein, das nicht wesentlich durch das Durchlaufen behindert wird Ein etwas längerer Prozess, um das entsprechende Passwort zu erhalten.

Wenn Sie auch an Strategien und / oder Skripten zum Generieren und / oder Ändern von Passwörtern auf Servern und / oder anderen Geräten interessiert sind, würde ich diese gerne teilen dass ich auch beschäftige.

-

Ich würde mich freuen.

Ich gehe davon aus, dass Sie mit Dateiverschlüsselung, PGP oder anderen vertraut sind. Wenn dies falsch ist, können Sie uns gerne fragen, und ich werde Ihnen gerne einige Beispiele geben.

Das Einrichten eines Git-Repositorys ist relativ einfach und weist Ähnlichkeiten mit den meisten Content-Management-Lösungen auf, mit denen Sie möglicherweise vertraut sind. Ein Hinweis zu Git: Es ist von Natur aus vollständig geöffnet und erfordert daher zusätzliche Schritte, um den Zugriff auf bestimmte Dateien oder Repositorys einzuschränken. Dies kann relativ einfach erreicht werden, indem Dateisystem-Acls (nur eine mögliche Lösung) genutzt werden. Abgesehen davon würde ich Ihnen auf jeden Fall empfehlen, eine Lösung zu verwenden, mit der Sie vertraut und vertraut sind, insbesondere wenn in Ihrem Unternehmen bereits alternative Content-Management-Lösungen verwendet werden.

Die Datei (en) werden von Definieren Sie eine Kennwortdatenbank, die Gerätekennungen wie Hostnamen mit Kennwörtern und möglicherweise Benutzernamen korreliert. Zum Beispiel: router-1.internetdomainwebsite.com Administrator soopersekretpasswerd . Im Idealfall werden Sie die Datei niemals unverschlüsselt speichern. Wenn Sie diese Strategie befolgen, ist das Abrufen von Kennwörtern jedoch relativ unpraktisch. Aus diesem Grund empfehle ich, einen Accessor als Skript zu erstellen, um innerhalb Ihres Verschlüsselungsframeworks zu arbeiten. Verwenden Sie möglicherweise eine Kennung als Suchbegriff und schreiben Sie nur das angeforderte Kennwort in eine Datei, damit der Anforderer sie einmal verwenden kann.

Jedes Gerät das Passwortänderungen unterstützt, kann per Skript ausgeführt werden. Da die meisten Geräte das Ändern von Kennwörtern über eine CLI unterstützen, würde ich empfehlen, einen Blick auf die Expect-Sprache und / oder ihre Bibliotheken für Perl, Python oder die Sprache Ihrer Wahl zu werfen. Ich persönlich verwende ein Skript, das den gewünschten Benutzernamen akzeptiert, das aktuelle Passwort akzeptiert, das gewünschte Passwort akzeptiert und überprüft und dann die Änderung auf allen übergebenen oder bereitgestellten Hosts ändert und überprüft, wenn Sie dazu aufgefordert werden. Es ist ziemlich nackt Perl mit Expect.

Dies sieht mehr oder weniger so aus, wie [pass] (http://www.passwordstore.org/).
Simon East
2014-11-12 08:18:56 UTC
view on stackexchange narkive permalink

Ich leite eine digitale Agentur und wir müssen häufig eine Reihe von Passwörtern verwalten und diese an unser Team von Entwicklern / Managern usw. weitergeben. Deshalb haben wir nachgeforscht, wie dies am besten verwaltet werden kann. (Wir haben zuvor KeePass verwendet, das über Dropbox synchronisiert wurde, aber es wurde nicht mehr verwaltbar.)

Wir haben uns für eine Cloud / gehostete Lösung entschieden, auf die auch von unseren Computern aus zugegriffen werden kann mobile Geräte, wenn wir nicht im Büro sind.

Dies sind einige der Optionen, die unsere Auswahlliste erstellt haben:

  • LastPass
    Einzelne Einträge können mit einem kostenlosen Konto geteilt werden, es ist jedoch ein Premium-Konto (12 USD / Jahr) erforderlich, um einen einzelnen Ordner freizugeben, oder ein Unternehmenskonto (24 USD / Jahr), um mehrere Ordner freizugeben.

  • 1Password
    3-8 USD pro Benutzer und Monat, je nach Plan

  • Passpack
    Kostenlos für 1 Benutzer, 18 USD / Jahr für 3 Benutzer, 48 USD / Jahr für 15 Benutzer.
    Leider der Benutzer -Interface ist nicht so freundlich wie es sein könnte, aber anscheinend soll 2014 ein Redesign stattfinden.

  • Dashlane
    Kostenloses Basiskonto oder 40 US-Dollar / Benutzer / Monat für die Synchronisierung zwischen Geräten und sha Zu mehr als 5 Elementen.

    Siehe: Sicherheitsanalyse von Dashlane

  • CommonKey
    Kostenlos für 3er-Teams oder 20 USD / Monat + 2 USD / Benutzer / Monat für Unternehmens- / Unternehmensfunktionen.

  • Mitro
    Kostenlose und großartige Benutzeroberfläche, aber nur wenige Funktionen.

  • Meldium (jetzt im Besitz von LogMeIn)
    Ab 29 USD / Monat für 20 Benutzer.

  • RoboForm Enterprise
    37,95 USD pro Lizenz, einmalig.

Ich kann die Sicherheit der einzelnen Lizenzen nicht kommentieren, aber die meisten führen jetzt (zum Glück!) eine Verschlüsselung für die Lizenz durch Client-Seite, sodass selbst Entwickler und Unternehmensadministratoren nicht auf Ihre Passwörter zugreifen können.

LastPass scheint die meisten unserer Anforderungen zu erfüllen, daher testen wir dies derzeit. Ursprünglich wurde uns Passpack empfohlen, aber die Benutzeroberfläche war ziemlich umständlich und es wurde abgelehnt, unsere KeePass-Datei mit ein paar hundert Konten zu importieren.

Bitte kommentieren Sie, wenn Sie zusätzliche Details oder würdige Ergänzungen zu dieser Liste haben und Ich werde versuchen, es zu aktualisieren.

Siehe auch: Wie sicher sind Passwortmanager wie LastPass?

Ich bin ziemlich beeindruckt von dem, was ich mit [Bitwarden] (https://bitwarden.com) sehe - glaube nicht, dass es existiert hat, als Sie Ihre Liste erstellt haben.
Danke für den Tipp @Iiridayn - ja, ich hatte noch nichts davon gehört, aber es sieht definitiv nach einer würdigen Alternative aus!Werde sie ausprobieren.
AviD
2010-11-26 14:29:48 UTC
view on stackexchange narkive permalink

Gemäß Ihrem Kommentar sprechen Sie von Systemen und Geräten, die auf gemeinsam genutzten Benutzern / Einzelbenutzermodus bestehen:

Versuchen Sie zunächst, dies so weit wie möglich zu vermeiden / zu minimieren.

Zweitens vermeiden und minimieren Sie dies so weit wie möglich.

Drittens sollte dies bei der Bewertung von Produkten / Dienstleistungen unbedingt berücksichtigt werden. Wenn eine solche Unsicherheit inhärent ist, möchten Sie sie möglicherweise doch nicht. Es ist wahrscheinlich, dass es dort auch andere Probleme gibt ...

Viertens überprüfen Sie mit dem Anbieter / Anbieter, ob es eine Möglichkeit gibt, es sicher zu konfigurieren.

Fünftens sollten Sie eine dünne Anwendung vom Typ "Proxy" erstellen, die die Benutzerauthentifizierung erzwingt, und dann ein eigenes Konto für das Gerät mit einem eigenen internen Zufallskennwort verwenden.

Sechstens - wenn aaaalll die oben genannten nicht relevant sind / nicht funktionieren (ernsthaft ??) - Ich habe Orte gesehen, die einen ACL-verschlüsselten Ordner - oder besser einen Cryptosafe - haben, auf den nur Zugriff gewährt wird Die Administratoren und darin gespeicherte Dateien mit den zufällig generierten Passwörtern.
Abhängig von Ihrer Kultur / Art der Organisation ist es möglicherweise besser, die Passwörter auszudrucken und in einem IST-Safe zu speichern, der von Ihren Sicherheitsbeauftragten geschützt wird und die Kombination, die nur den Administratoren gegeben wurde ....

+1 für "Auf Papier drucken und in einem physischen Safe aufbewahren". Ehrlich gesagt sollte diese Lösung öfter verwendet werden als sie ist. In vielen (chaotischen, ressourcenbeschränkten) kleineren Unternehmen entsteht mehr wirtschaftlicher Schaden durch * langsame Behebung von Server- / Geräteausfallzeiten * als durch das Hacken durch einen menschlichen Eindringling.
nealmcb
2010-11-24 21:27:28 UTC
view on stackexchange narkive permalink

Passwörter sind das Problem, nicht die Lösung. Das allgemeine Problem ist die sichere Authentifizierung und Autorisierung, die häufig als Teil von "Identity Management" angesehen wird.

LDAP oder Kerberos / AD können verwendet werden, um die Authentifizierung zu zentralisieren und Kennwörter synchron zu halten. Die Verwendung von SSH und die Authentifizierung mit öffentlichen / privaten Schlüsseln ist eine weitere gute Option.

Der modernste Ansatz besteht darin, dieses Problem allgemeiner und bequemer zu lösen, damit die Benutzer auch von Kennwörtern zu sicheren Token oder anderen wechseln können robustere Möglichkeiten zur Authentifizierung. Ein Single-Sign-On-System, mit dem sich Benutzer einmal authentifizieren und diese Authentifizierung dann für die Autorisierung für den Zugriff auf andere Dienste nutzen können, ist eine gängige Lösung.

Technische Ansätze hierfür sind OAuth, SAML, Shibboleth und InfoCard .

Obwohl mir gefällt, was Sie geschrieben haben, bin ich mir nicht sicher, ob dies eine direkte oder relevante Antwort auf die Frage ist. Siehe meinen Kommentar oben.
@avid Vielleicht sind die Antworten für mittlere und große Unternehmen unterschiedlich. Mittlere, die nicht auf die IT ausgerichtet sind, finden es möglicherweise akzeptabel, einzelne Kennwörter für den Zugriff auf viele IT-Ressourcen zu verwenden, und benötigen eine Möglichkeit, diese zu verwalten. Aber wenn ein großes Unternehmen das noch tun würde, hätte ich Angst. Mein Punkt ist jedenfalls, dass wir immer mehr bequeme Wege finden, um von Passwörtern wegzukommen, was eine echte Belastung sein kann. Aber meine Antwort ist auf konkrete Weise noch nicht wirklich sehr hilfreich ...
Vielleicht hilft meine Bearbeitung ein bisschen.
Ja, aber jetzt - aber leider gibt es immer noch viele Geräte / Programme, bei denen Sie ein Passwort verwenden müssen, auch wenn Sie dies nicht möchten. Zum Beispiel Router, einige Firewalls, Hosting-Accounts usw. - von der Frage.
Das andere Problem bei der einmaligen Anmeldung besteht darin, dass das normale Benutzerkonto plötzlich Administratorrechte erhält, da SSO die Erhöhung von Berechtigungen nicht oder nur sehr schlecht durchführt. Darüber hinaus hilft es nicht bei sicheren Systemen, bei denen Sie den Zugriff über eine kombinierte Authentifizierung steuern möchten, wenn zwei oder mehr Personen in Kombination zur Authentifizierung arbeiten (Ihr übliches Break-Glass-Szenario).
atdre
2010-11-28 07:04:37 UTC
view on stackexchange narkive permalink

Root-Passwörter und Administratorkonten aller Art sollten auf folgende Weise erstellt werden:

3 wichtige Stakeholder weisen sie zufällig mit einer maximal pseudozufälligen Auswahl von Zeichen maximaler Größe zu.

Sie schreiben sie auf (ohne sie auswendig zu lernen) und legen sie in Umschläge und lagern / sichern sie sicher. Sie wechseln sie jedes Jahr mit neuen Passphrasen.

Die tägliche Verwendung erfolgt über Gruppenadministratorkonten, die an echte Namen gebunden sind, wobei die Auftragnehmer sowohl durch den Kontonamen (z. B. admcjsmith anstelle von admjsmith) als auch durch die Domain (falls möglich) getrennt werden. Unix / LDAP wird auf ähnliche Weise durchgeführt, z. via sudo.

Benannte Konten wie root und Administrator sollten niemals verwendet werden oder bekannt sein. In ähnlicher Weise müssen Cloud Access-Schlüssel- / API-Schlüsselkonten unterteilt und gesichert werden.

Wayne
2010-11-29 03:12:00 UTC
view on stackexchange narkive permalink

Wir verwenden KeePass, um die Passwörter zu speichern. Jeder Teamleiter in der IT (Sicherheit, Systeme, Klinik, Geschäft, Hilfsprogramme) ist für die KeePass-Datenbank seines Teams und die Pflege der Inhalte verantwortlich. Wenn jemand mit Zugriff auf eine bestimmte Datenbank die Abteilung oder die Organisation verlässt, müssen alle Kennwörter in dieser Datenbank geändert werden.

Ich habe Anwendungen gesehen und überprüft, die die Authentifizierung als Proxy verwenden, um die Überwachung und Kennwortverwaltung zu unterstützen. Diese funktionierten für einige unserer gängigsten Anwendungen, betrafen jedoch nicht die branchenspezifischen Anwendungen, die wir verwenden.

goodguys_activate
2010-12-02 05:40:06 UTC
view on stackexchange narkive permalink

Ich habe mit "Secret Server" unter http://www.thycotic.com/ gearbeitet. Ich kann ein einzelnes Kennwort bereitstellen und es an so viele oder so wenige Personen weitergeben, wie ich möchte.

In die Webanwendung sind ein Prüfpfad und eine hervorragende Suchfunktion integriert. Es gibt auch eine Online-Cloud-Version der Anwendung, die für einen Benutzer kostenlos ist.

Sie können für jedes Gerät, das Sie besitzen, ein neues Geheimnis erstellen und bei Bedarf ein eigenes hinzufügen:

Security Choices

Der gesamte Zugriff auf diese Datenbank wird durch lokale oder Active Directory-Anmeldeinformationen gesichert. Wenn Sie sich dafür entscheiden, können Sie sich über Kerberos / NTLM nahtlos anmelden (SSO), um auf die Datenbank des aktuell angemeldeten Benutzers zuzugreifen.

Insgesamt halte ich dies für eine gute Wahl für ein Team. und allgemeines Repository für Sicherheitsinformationen des Unternehmens.

snth
2011-05-12 03:20:06 UTC
view on stackexchange narkive permalink

Ich stimme nealmcb zu, dass in einer kontrollierten Umgebung mit kompetenten Administratoren eine Single-Sign-On-Lösung wahrscheinlich die beste ist.

Zum Nachverfolgen von Anmeldeinformationen für Websites oder Dienste von Drittanbietern können Sie sich lastpass ansehen. Die Unternehmenslösung von com, mit der Sie Anmeldeinformationen für Benutzer und bestimmte Rollen freigeben können.

Ich habe bereits "Clipperz" in diesem Zusammenhang erwähnt, habe aber keine Erfahrung damit.

hpavc
2010-11-24 02:59:01 UTC
view on stackexchange narkive permalink

Ich mag Password Manager Pro sehr. Es handelt sich um eine Website, die an Ihre Anzeige / LDAP gebunden ist und Passwörter für Ihre Organisation an die von Ihnen gewünschte Gruppierung weitergibt. Die Benutzer können auch eigene Passwörter speichern.

Sie leistet solide politische Arbeit, historische Daten , Audits und was nicht.

Es hat auch Änderungsfunktionen. Ich habe einige nette Pam-Skripte verkabelt, um einige Änderungen direkt von PMP aus vorzunehmen, die sonst mühsam gewesen wären.

Einige der harten Passwörter, wie das Passwort Ihrer Netzwerklösung, ein passendes Passwort für Remote-Rechenzentren und ähnliches, können mit einer vordefinierten Logik optimiert werden. Erstaunlich, wenn Sie all diese Arbeit erledigt haben, um zu sehen, wie viel Sie dort rumhängen und wie viel Sie mehr / mehrere Benutzergruppen haben sollten und so weiter.

Siehe diese Frage: http://security.stackexchange.com/q/279/33. Natürlich ist es hier umso mehr, wenn Sie über Unternehmensanmeldeinformationen sprechen ...
kenorb
2017-10-12 16:28:28 UTC
view on stackexchange narkive permalink

Dies hängt hauptsächlich von den Unternehmensrichtlinien und -anforderungen ab.

Wenn beispielsweise die meisten Anmeldeinformationen von automatisierten Tools (für Zwecke der kontinuierlichen Integration) verwendet werden, können Sie Ansible Vault em verwenden > Funktion, mit der Sie vertrauliche Daten wie Kennwörter oder Schlüssel in verschlüsselten Dateien speichern können. Diese Dateien können der Versionskontrolle unterliegen und Personen, die darauf zugreifen, können jederzeit ansible-vault view some-encrypted-file ausführen.

Wenn Sie nicht verwenden möchten Ansible können Sie einfach GPG Tools verwenden und verschlüsselte Dateien in das Code-Repository übertragen.

Wenn Sie Cloud-Plattformen ausgiebig verwenden (z. B. Amazon Services), ist dies sicher Mit Cloud-Verwaltungsplattformen (wie Scalr) können Sie Kennwörter und private Schlüssel online organisieren.

Wenn Ihre Kennwörter nur von Personen verwaltet werden müssen, können Sie wie erwähnt Kennwortmanager verwenden in der anderen Antwort, wie z. B. Dashlane, die das sichere Synchronisieren und Freigeben von Passwörtern unterstützt. Wenn Sie nach kostenlosen Open-Source-Lösungen suchen, verwenden Sie Tools wie KeePass.

Gnomet
2012-06-03 19:17:42 UTC
view on stackexchange narkive permalink

Passpack scheint ein Dienst zu sein, der genau für diesen Zweck entwickelt wurde. Es ermöglicht das Speichern von Passwörtern (und anderen Informationen) online in verschlüsselter Form und das Teilen von Rechten an Passwörtern innerhalb eines Teams. Unterstützt auch die Ein-Klick-Anmeldung per Browser-Lesezeichen-Skript.

Ich habe noch keine Erfahrung mit der Verwendung. Aber nachdem wir heute kleine Nachforschungen zu diesem Thema angestellt haben, sieht Passpack wie die Lösung aus, die wir in unserem 7-köpfigen Team verwenden werden.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...