Obwohl ich viele Implementierungen von Lösungen für dieses Problem gesehen habe, glaube ich, dass das vollständigste, wenn nicht sogar das bequemste ein Git-Repository war, das auf Superuser beschränkt war, die nur verschlüsselte Textdateien mit Passwörtern nach Umgebung enthielten. Das Verwalten der Kennwortrotation auf Geräten, gemischten Servern und dedizierten Geräten wie Modems wurde separat behandelt.

Diese Lösung vereinfachte die Verteilung neuer Kennwörter erheblich, da Benutzer ein einfaches Update durchführen mussten, um das Kennwort zu erhalten Letzte Überarbeitung der Passwörter sowie Bereitstellung eines nachvollziehbaren Verlaufs früherer Passwörter für die Aufzeichnung.

Soweit ich mich erinnere, waren die Dateien GPG-verschlüsselt, aber es gibt zahlreiche Lösungen und praktikable Ansätze für den Umgang mit den Dateien selbst.

Der offensichtliche Nachteil dieses Ansatzes besteht darin, dass Sie, insbesondere wenn sich Kennwörter geändert haben, eine oder mehrere Dateien entschlüsseln, um nach den erforderlichen Kennwörtern zu suchen. Je häufiger Sie ein Kennwort verwenden, desto wahrscheinlicher ist es natürlich, dass Sie es sich merken. Je nach Gerät (en) kann der Zugriff ein seltenes Ereignis sein, das nicht wesentlich durch das Durchlaufen behindert wird Ein etwas längerer Prozess, um das entsprechende Passwort zu erhalten.

Wenn Sie auch an Strategien und / oder Skripten zum Generieren und / oder Ändern von Passwörtern auf Servern und / oder anderen Geräten interessiert sind, würde ich diese gerne teilen dass ich auch beschäftige.

-

Ich würde mich freuen.

Ich gehe davon aus, dass Sie mit Dateiverschlüsselung, PGP oder anderen vertraut sind. Wenn dies falsch ist, können Sie uns gerne fragen, und ich werde Ihnen gerne einige Beispiele geben.

Das Einrichten eines Git-Repositorys ist relativ einfach und weist Ähnlichkeiten mit den meisten Content-Management-Lösungen auf, mit denen Sie möglicherweise vertraut sind. Ein Hinweis zu Git: Es ist von Natur aus vollständig geöffnet und erfordert daher zusätzliche Schritte, um den Zugriff auf bestimmte Dateien oder Repositorys einzuschränken. Dies kann relativ einfach erreicht werden, indem Dateisystem-Acls (nur eine mögliche Lösung) genutzt werden. Abgesehen davon würde ich Ihnen auf jeden Fall empfehlen, eine Lösung zu verwenden, mit der Sie vertraut und vertraut sind, insbesondere wenn in Ihrem Unternehmen bereits alternative Content-Management-Lösungen verwendet werden.

Die Datei (en) werden von Definieren Sie eine Kennwortdatenbank, die Gerätekennungen wie Hostnamen mit Kennwörtern und möglicherweise Benutzernamen korreliert. Zum Beispiel: router-1.internetdomainwebsite.com Administrator soopersekretpasswerd . Im Idealfall werden Sie die Datei niemals unverschlüsselt speichern. Wenn Sie diese Strategie befolgen, ist das Abrufen von Kennwörtern jedoch relativ unpraktisch. Aus diesem Grund empfehle ich, einen Accessor als Skript zu erstellen, um innerhalb Ihres Verschlüsselungsframeworks zu arbeiten. Verwenden Sie möglicherweise eine Kennung als Suchbegriff und schreiben Sie nur das angeforderte Kennwort in eine Datei, damit der Anforderer sie einmal verwenden kann.

Jedes Gerät das Passwortänderungen unterstützt, kann per Skript ausgeführt werden. Da die meisten Geräte das Ändern von Kennwörtern über eine CLI unterstützen, würde ich empfehlen, einen Blick auf die Expect-Sprache und / oder ihre Bibliotheken für Perl, Python oder die Sprache Ihrer Wahl zu werfen. Ich persönlich verwende ein Skript, das den gewünschten Benutzernamen akzeptiert, das aktuelle Passwort akzeptiert, das gewünschte Passwort akzeptiert und überprüft und dann die Änderung auf allen übergebenen oder bereitgestellten Hosts ändert und überprüft, wenn Sie dazu aufgefordert werden. Es ist ziemlich nackt Perl mit Expect.

Ich leite eine digitale Agentur und wir müssen häufig eine Reihe von Passwörtern verwalten und diese an unser Team von Entwicklern / Managern usw. weitergeben. Deshalb haben wir nachgeforscht, wie dies am besten verwaltet werden kann. (Wir haben zuvor KeePass verwendet, das über Dropbox synchronisiert wurde, aber es wurde nicht mehr verwaltbar.)

Wir haben uns für eine Cloud / gehostete Lösung entschieden, auf die auch von unseren Computern aus zugegriffen werden kann mobile Geräte, wenn wir nicht im Büro sind.

Dies sind einige der Optionen, die unsere Auswahlliste erstellt haben:

• LastPass
  Einzelne Einträge können mit einem kostenlosen Konto geteilt werden, es ist jedoch ein Premium-Konto (12 USD / Jahr) erforderlich, um einen einzelnen Ordner freizugeben, oder ein Unternehmenskonto (24 USD / Jahr), um mehrere Ordner freizugeben.

• 1Password
  3-8 USD pro Benutzer und Monat, je nach Plan

• Passpack
  Kostenlos für 1 Benutzer, 18 USD / Jahr für 3 Benutzer, 48 USD / Jahr für 15 Benutzer.
  Leider der Benutzer -Interface ist nicht so freundlich wie es sein könnte, aber anscheinend soll 2014 ein Redesign stattfinden.

• Dashlane
  Kostenloses Basiskonto oder 40 US-Dollar / Benutzer / Monat für die Synchronisierung zwischen Geräten und sha Zu mehr als 5 Elementen.

  Siehe: Sicherheitsanalyse von Dashlane

• CommonKey
  Kostenlos für 3er-Teams oder 20 USD / Monat + 2 USD / Benutzer / Monat für Unternehmens- / Unternehmensfunktionen.

• Mitro
  Kostenlose und großartige Benutzeroberfläche, aber nur wenige Funktionen.

• Meldium (jetzt im Besitz von LogMeIn)
  Ab 29 USD / Monat für 20 Benutzer.

• RoboForm Enterprise
  37,95 USD pro Lizenz, einmalig.

Ich kann die Sicherheit der einzelnen Lizenzen nicht kommentieren, aber die meisten führen jetzt (zum Glück!) eine Verschlüsselung für die Lizenz durch Client-Seite, sodass selbst Entwickler und Unternehmensadministratoren nicht auf Ihre Passwörter zugreifen können.

LastPass scheint die meisten unserer Anforderungen zu erfüllen, daher testen wir dies derzeit. Ursprünglich wurde uns Passpack empfohlen, aber die Benutzeroberfläche war ziemlich umständlich und es wurde abgelehnt, unsere KeePass-Datei mit ein paar hundert Konten zu importieren.

Bitte kommentieren Sie, wenn Sie zusätzliche Details oder würdige Ergänzungen zu dieser Liste haben und Ich werde versuchen, es zu aktualisieren.

Siehe auch: Wie sicher sind Passwortmanager wie LastPass?

Gemäß Ihrem Kommentar sprechen Sie von Systemen und Geräten, die auf gemeinsam genutzten Benutzern / Einzelbenutzermodus bestehen:

Versuchen Sie zunächst, dies so weit wie möglich zu vermeiden / zu minimieren.

Zweitens vermeiden und minimieren Sie dies so weit wie möglich.

Drittens sollte dies bei der Bewertung von Produkten / Dienstleistungen unbedingt berücksichtigt werden. Wenn eine solche Unsicherheit inhärent ist, möchten Sie sie möglicherweise doch nicht. Es ist wahrscheinlich, dass es dort auch andere Probleme gibt ...

Viertens überprüfen Sie mit dem Anbieter / Anbieter, ob es eine Möglichkeit gibt, es sicher zu konfigurieren.

Fünftens sollten Sie eine dünne Anwendung vom Typ "Proxy" erstellen, die die Benutzerauthentifizierung erzwingt, und dann ein eigenes Konto für das Gerät mit einem eigenen internen Zufallskennwort verwenden.

Sechstens - wenn aaaalll die oben genannten nicht relevant sind / nicht funktionieren (ernsthaft ??) - Ich habe Orte gesehen, die einen ACL-verschlüsselten Ordner - oder besser einen Cryptosafe - haben, auf den nur Zugriff gewährt wird Die Administratoren und darin gespeicherte Dateien mit den zufällig generierten Passwörtern.
Abhängig von Ihrer Kultur / Art der Organisation ist es möglicherweise besser, die Passwörter auszudrucken und in einem IST-Safe zu speichern, der von Ihren Sicherheitsbeauftragten geschützt wird und die Kombination, die nur den Administratoren gegeben wurde ....

Passwörter sind das Problem, nicht die Lösung. Das allgemeine Problem ist die sichere Authentifizierung und Autorisierung, die häufig als Teil von "Identity Management" angesehen wird.

LDAP oder Kerberos / AD können verwendet werden, um die Authentifizierung zu zentralisieren und Kennwörter synchron zu halten. Die Verwendung von SSH und die Authentifizierung mit öffentlichen / privaten Schlüsseln ist eine weitere gute Option.

Der modernste Ansatz besteht darin, dieses Problem allgemeiner und bequemer zu lösen, damit die Benutzer auch von Kennwörtern zu sicheren Token oder anderen wechseln können robustere Möglichkeiten zur Authentifizierung. Ein Single-Sign-On-System, mit dem sich Benutzer einmal authentifizieren und diese Authentifizierung dann für die Autorisierung für den Zugriff auf andere Dienste nutzen können, ist eine gängige Lösung.

Technische Ansätze hierfür sind OAuth, SAML, Shibboleth und InfoCard .

Root-Passwörter und Administratorkonten aller Art sollten auf folgende Weise erstellt werden:

3 wichtige Stakeholder weisen sie zufällig mit einer maximal pseudozufälligen Auswahl von Zeichen maximaler Größe zu.

Sie schreiben sie auf (ohne sie auswendig zu lernen) und legen sie in Umschläge und lagern / sichern sie sicher. Sie wechseln sie jedes Jahr mit neuen Passphrasen.

Die tägliche Verwendung erfolgt über Gruppenadministratorkonten, die an echte Namen gebunden sind, wobei die Auftragnehmer sowohl durch den Kontonamen (z. B. admcjsmith anstelle von admjsmith) als auch durch die Domain (falls möglich) getrennt werden. Unix / LDAP wird auf ähnliche Weise durchgeführt, z. via sudo.

Benannte Konten wie root und Administrator sollten niemals verwendet werden oder bekannt sein. In ähnlicher Weise müssen Cloud Access-Schlüssel- / API-Schlüsselkonten unterteilt und gesichert werden.

Wir verwenden KeePass, um die Passwörter zu speichern. Jeder Teamleiter in der IT (Sicherheit, Systeme, Klinik, Geschäft, Hilfsprogramme) ist für die KeePass-Datenbank seines Teams und die Pflege der Inhalte verantwortlich. Wenn jemand mit Zugriff auf eine bestimmte Datenbank die Abteilung oder die Organisation verlässt, müssen alle Kennwörter in dieser Datenbank geändert werden.

Ich habe Anwendungen gesehen und überprüft, die die Authentifizierung als Proxy verwenden, um die Überwachung und Kennwortverwaltung zu unterstützen. Diese funktionierten für einige unserer gängigsten Anwendungen, betrafen jedoch nicht die branchenspezifischen Anwendungen, die wir verwenden.

Ich habe mit "Secret Server" unter http://www.thycotic.com/ gearbeitet. Ich kann ein einzelnes Kennwort bereitstellen und es an so viele oder so wenige Personen weitergeben, wie ich möchte.

In die Webanwendung sind ein Prüfpfad und eine hervorragende Suchfunktion integriert. Es gibt auch eine Online-Cloud-Version der Anwendung, die für einen Benutzer kostenlos ist.

Sie können für jedes Gerät, das Sie besitzen, ein neues Geheimnis erstellen und bei Bedarf ein eigenes hinzufügen:

Der gesamte Zugriff auf diese Datenbank wird durch lokale oder Active Directory-Anmeldeinformationen gesichert. Wenn Sie sich dafür entscheiden, können Sie sich über Kerberos / NTLM nahtlos anmelden (SSO), um auf die Datenbank des aktuell angemeldeten Benutzers zuzugreifen.

Insgesamt halte ich dies für eine gute Wahl für ein Team. und allgemeines Repository für Sicherheitsinformationen des Unternehmens.

Ich stimme nealmcb zu, dass in einer kontrollierten Umgebung mit kompetenten Administratoren eine Single-Sign-On-Lösung wahrscheinlich die beste ist.

Zum Nachverfolgen von Anmeldeinformationen für Websites oder Dienste von Drittanbietern können Sie sich lastpass ansehen. Die Unternehmenslösung von com, mit der Sie Anmeldeinformationen für Benutzer und bestimmte Rollen freigeben können.

Ich habe bereits "Clipperz" in diesem Zusammenhang erwähnt, habe aber keine Erfahrung damit.

Ich mag Password Manager Pro sehr. Es handelt sich um eine Website, die an Ihre Anzeige / LDAP gebunden ist und Passwörter für Ihre Organisation an die von Ihnen gewünschte Gruppierung weitergibt. Die Benutzer können auch eigene Passwörter speichern.

Sie leistet solide politische Arbeit, historische Daten , Audits und was nicht.

Es hat auch Änderungsfunktionen. Ich habe einige nette Pam-Skripte verkabelt, um einige Änderungen direkt von PMP aus vorzunehmen, die sonst mühsam gewesen wären.

Einige der harten Passwörter, wie das Passwort Ihrer Netzwerklösung, ein passendes Passwort für Remote-Rechenzentren und ähnliches, können mit einer vordefinierten Logik optimiert werden. Erstaunlich, wenn Sie all diese Arbeit erledigt haben, um zu sehen, wie viel Sie dort rumhängen und wie viel Sie mehr / mehrere Benutzergruppen haben sollten und so weiter.

Dies hängt hauptsächlich von den Unternehmensrichtlinien und -anforderungen ab.

Wenn beispielsweise die meisten Anmeldeinformationen von automatisierten Tools (für Zwecke der kontinuierlichen Integration) verwendet werden, können Sie Ansible Vault em verwenden > Funktion, mit der Sie vertrauliche Daten wie Kennwörter oder Schlüssel in verschlüsselten Dateien speichern können. Diese Dateien können der Versionskontrolle unterliegen und Personen, die darauf zugreifen, können jederzeit ansible-vault view some-encrypted-file ausführen.

Wenn Sie nicht verwenden möchten Ansible können Sie einfach GPG Tools verwenden und verschlüsselte Dateien in das Code-Repository übertragen.

Wenn Sie Cloud-Plattformen ausgiebig verwenden (z. B. Amazon Services), ist dies sicher Mit Cloud-Verwaltungsplattformen (wie Scalr) können Sie Kennwörter und private Schlüssel online organisieren.

Wenn Ihre Kennwörter nur von Personen verwaltet werden müssen, können Sie wie erwähnt Kennwortmanager verwenden in der anderen Antwort, wie z. B. Dashlane, die das sichere Synchronisieren und Freigeben von Passwörtern unterstützt. Wenn Sie nach kostenlosen Open-Source-Lösungen suchen, verwenden Sie Tools wie KeePass.

Passpack scheint ein Dienst zu sein, der genau für diesen Zweck entwickelt wurde. Es ermöglicht das Speichern von Passwörtern (und anderen Informationen) online in verschlüsselter Form und das Teilen von Rechten an Passwörtern innerhalb eines Teams. Unterstützt auch die Ein-Klick-Anmeldung per Browser-Lesezeichen-Skript.

Ich habe noch keine Erfahrung mit der Verwendung. Aber nachdem wir heute kleine Nachforschungen zu diesem Thema angestellt haben, sieht Passpack wie die Lösung aus, die wir in unserem 7-köpfigen Team verwenden werden.