Mantendo e mantendo uma lista de senhas [duplicada]

4

Não tenho certeza se essa pergunta é adequada para este site, mas aqui vai.

Quais recomendações você pode dar para centralizar e manter uma lista de senhas (PCs, hospedagem, ssh, servidor ...) dentro de um pequeno software dev. empresa?

O objetivo é evitar problemas se alguém esquecer uma senha ou desaparecer. Obviamente, tal lista não deve cair nas mãos de alguém de fora.

P.S: Se é importante, o servidor da empresa está executando o Linux.

Editar: também estou interessado em políticas relacionadas à forma de senhas e a um intervalo de tempo recorrente recomendado dentro do qual elas devem ser alteradas.

    
por James P. 21.05.2012 / 10:09

6 respostas

7

Sempre faço isso com um arquivo de texto simples, criptografado em todas as chaves GPG dos administradores relevantes, sob controle de origem.

Isso tem várias vantagens. Em primeiro lugar, faz com que todos os seus administradores instalem o GPG, usem, gerem e troquem os keypairs. Isso tem um lote de benefícios adicionais em termos de segurança (por exemplo, os administradores podem autenticar solicitações uns dos outros, o que dificulta muito os ataques de engenharia social)

Em segundo lugar, a segurança não está em algum aplicativo centralizado, mas no gerenciamento de chaves dos indivíduos. Você pode hackear o servidor que armazena o arquivo criptografado tudo que você gosta, tudo o que você vai conseguir é o texto cifrado. Você pode manter uma cópia local deste arquivo em qualquer dispositivo que lhe seja conveniente, sem comprometer a segurança de ninguém, e sem ter que instalar qualquer aplicativo além do GPG (que qualquer pessoa que trabalhe com segurança deve ter, veja acima).

Em terceiro lugar, por causa do controle de origem, você pode sempre voltar atrás para descobrir qual era a senha de root para toda a empresa há três anos, quando alguém extrai uma máquina do porão e insiste que precisa ser ressuscitada agora mesmo . Você criptografa a versão atual do documento apenas para as chaves dos administradores atualmente em exibição, mas você sempre pode adicionar uma chave de depósito para emergências (frase secreta e chave privada armazenadas em uma mídia protegida contra violação e usadas apenas uma vez - gerar uma nova chave de escrow se a atual já tiver que ser usada).

    
por 21.05.2012 / 12:41
6

KeePass é um gerenciador de senhas que acho muito útil, é multi-plataforma, tem recursos como geração de senhas e manutenção de datas de validade, etc.

Mas é uma ferramenta de usuário único, por isso não tenho certeza de que ela atenda às suas necessidades, a menos que você não permita que seus usuários alterem suas senhas e faça isso de maneira centralizada. Se isso é viável / aceitável, isso depende das suas políticas de segurança.

Provavelmente é melhor (em turnos de políticas e afins) fazer com que cada usuário mantenha sua própria senha e use os privilégios de administrador para redefinir a senha de um usuário que esqueceu seu / dela.

    
por 21.05.2012 / 10:58
2

Como dito acima KeePass + eu uso o Dropbox para sincronizar o kdbx em vários dispositivos (PC, Notebook, smartphone Android, está em todo lugar).

Você pode até mesmo definir datas de expiração de senha para lembrá-lo.

Essa é praticamente a melhor ferramenta no mercado atualmente.

Quanto às políticas de senhas, acho que você deve encontrar o que é melhor para sua empresa, basta usar o bom senso ou o google para obter as melhores práticas, ex. Políticas do MIT .

    
por 21.05.2012 / 11:47
2

Existe também um gerenciador de senhas on-line chamado LastPass com recursos de compartilhamento. Eles também fornecem LastPass Enterprise adicionando funcionalidade útil para organizações.

Você deve ler sobre o technoligy behing LastPass, pois ele declara que a criptografia / decription é feita localmente em seu PC, portanto, somente os dados criptografados passam pela rede e são armazenados nos data centers do LastPass. A outra coisa importante é que você pode exportar os dados do LastPass se achar que o LastPass sai do bussines, suas senhas não serão

    
por 21.05.2012 / 12:56
1

No momento, estamos avaliando o link como ferramenta para gerenciar senhas em nossa equipe. Até agora parece funcionar bem e pode até importar entradas exportadas pelo KeePass.

    
por 21.05.2012 / 12:03
1

Como o cpm não é mencionado, vou escrever um poucas frases sobre isso.

cpm é uma ferramenta simples baseada em um ncurses ui. Ele armazena seu banco de dados de senhas em um arquivo criptografado por GPG que pode ser distribuído ou armazenado em um repositório git se você desejar. Os dados são armazenados como XML, por isso é fácil pegar os dados e usá-los em outros programas também.

    
por 21.05.2012 / 13:04