Frage Wie teilt ein Team von Systemadministratoren Passwörter sicher?


Was sind Best Practices für die gemeinsame Nutzung von Hunderten von Passwörtern bei wenigen Personen? Diese Passwörter schützen unternehmenskritische Daten und können niemals über ein kleines Team hinaus sichtbar sein.


81
2018-06-02 23:50


Ursprung


Siehe die verwandten serverfault.com/questions/3696/ ...  serverfault.com/questions/2186/ ...  serverfault.com/questions/10285/ ...  serverfault.com/questions/21374/... - Zoredache
BTW Hunderten ist eine sehr beunruhigende Nummer. Was passiert, wenn eines der Mitglieder des Teams gefeuert wird? Die Aktualisierung von Hunderten von Passwörtern wird schmerzhaft sein. - Zoredache
Abgestimmt auf die "hunderte ist eine sehr beunruhigende Nummer". Ich denke, Sie müssen vielleicht noch einmal nachdenken und darüber nachdenken, wie Sie die gesamte Sicherheitssache überhaupt verwalten, anstatt zu versuchen, das, was Sie gerade haben, zu verkleben. - Maximus Minimus
Etwas verwandt: serverfault.com/questions/119892  Besonders diese Antwort: serverfault.com/questions/119892/company-password-management/... - Nathan Hartley


Antworten:


Ich würde wahrscheinlich eine benutzerdefinierte webbasierte Lösung schreiben, die in einem Firmenintranet gehostet wird. (Schau dir an http://lastpass.com zur Inspiration oder um es zu benutzen. Das Freigeben von Kennwörtern ist eine seiner Funktionen, obwohl es für Ihr Volume möglicherweise nicht funktioniert.)

BEARBEITEN: Sicher, beste Lösung, teile sie nicht. Das Speichern von Klartext-Passwörtern in einem beliebigen Medium ist gefährlich, insbesondere wenn der Zweck der Speicherung darin besteht, sie zu teilen. Es gibt eine nahezu unendliche Anzahl von Lösungen, von denen jede eine damit verbundene Gefahr birgt. Warum sollte man sie nicht auf ein verschlüsseltes Disk-Image legen, dieses Image auf eine einzige CD brennen, die CD in einen Safe legen, den nur ein bewaffneter Wachmann öffnen kann, und autorisierte Personen mit Foto-ID versehen haben, um sie freizuschalten?

Der Punkt ist, dass wir Ihr Szenario nicht wirklich kennen. Warum teilen Sie Hunderte von unternehmenskritischen Passwörtern? Sind sie für Ihr Backoffice-Intranet, VPN oder sind sie Kundenpasswörter, die Sie aus irgendeinem Grund im Klartext behalten? Sind alle Personen, mit denen Sie es teilen müssen, in der gleichen Installation? Würde eine physische Übertragung wie eine verschlüsselte CD oder eine gedruckte Tabelle, die in einem Safe gespeichert ist, tatsächlich funktionieren? Oder sind Ihre Systemadministratoren über den Globus verteilt und machen elektronische Mittel, um sie zu teilen nur Lösung?


14
2018-06-02 23:58



IMO Der Aufbau eines eigenen Sicherheits- / Verschlüsselungssystems ist fast nie der richtige Ansatz für ein Problem. - Zoredache
@Zoredache, Das ist eine Ladung Mist. Obwohl ich denke, Web-basierte Lösung für das Hosting von Passwörtern ist dumm - aber er hat msanford Intranet sagen. Immer noch riskant. Das Gleiche gilt für alle anderen vernetzten Lösungen. - d-_-b
@Zoredache, das OP erstellt kein benutzerdefiniertes Verschlüsselungssystem, es klingt nach allem, was er braucht, ist eine sichere Datenbank. @sims Ich sehe nichts falsch mit einer gut entworfenen web-basierten Lösung. Die neu gewählte Antwort legt genau das nahe (webbasiert! = Http; webbasiert = online gespeichert). Zugegeben, nachdem ich diese Frage ein zweites Mal gelesen habe, stimme ich zu, dass das grundlegende Modell des Tauschens von Passwörtern wahrscheinlich unnötig ist und dass eine bessere Lösung erreicht werden könnte. Aber das OP hat mir nicht genug Informationen gegeben, um dieses Urteil zu fällen ... - msanford
> @Zoredache, das ist eine Ladung Mist. <Ähm, Sims, du flippst auf Anhieb fast in den Kopf der meisten Verschlüsselungsleute. Entwerfen von Verschlüsselung ist schwer, so dass es sich lohnt, Verschlüsselung ist noch schwieriger. schneier.com/essay-037.html  Manchmal ist das kleinere Übel - das, das du kennst - die bessere Wahl, wenn du mit dem Bösen konfrontiert wirst, das du nicht kennst (z. B. ein Design, das nicht getestet ist, kein Peer-Review, vielleicht Bugs, Sicherheitslücken usw.) ) - Avery Payne
@Avery - das Entwerfen eines kryptographischen Systems ist schwierig und sollte den Experten überlassen werden, ja. Mit bewährten Tools wie GPG in einer freigegebenen Textdatei oder Keepass (die die .NET-Implementierungen von AES und SHA-256 verwendet) wird kein eigenes System entworfen. - mfinni


Es empfiehlt sich, die Kennwörter nicht zu teilen. Verwenden Sie Tools wie sudo, um den Benutzern den Zugriff von ihrem eigenen Konto zu ermöglichen. Wenn Sie ein paar Benutzer haben, sollte jeder seine eigenen Konten haben, wenn nötig. LDAP (Unix / Linux) und Active Directory sind eine gute Lösung für den Zugriff auf mehrere Server über eine gemeinsame Datenbank.

Wenn es notwendig ist, eine schriftliche Kopie eines Passworts zu haben, versiegeln Sie es in einem Umschlag, der auf dem Siegel unterschrieben und datiert ist. Ändern Sie das Passwort, wenn es verwendet wird. Wenn das Passwort geändert wird, versiegele es einen neuen Umschlag.

Für Passwörter, die wirklich geteilt werden müssen, verwenden Sie eines der Passwort-Tools wie Keepass, die ihre Datenbank in einem Netzwerk haben können. Tools mit Clients für mehrere Plattformen sind besser. Überlegen Sie, ob Sie mehr als eine Datenbank benötigen. Denken Sie daran, dass Sie wirklich jedem vertrauen müssen, der Zugriff auf diese Daten hat.


38
2018-06-03 00:04



+1 für nicht privilegierte Benutzerkonten für Admins mit möglichen Privilegien-Eskalationen, auf * nix-Servern würde ich das mit der Verwendung nur der dsa / rsa-Zertifizierung für sshd kombinieren. Wenn Sie mit grafischen Werkzeugen unter Linux arbeiten, können Sie auch eine angepasste Policykit-Konfiguration verwenden. - Aaron Tate
Diese. Das Aufheben des Zugriffs für Benutzer, wenn sie gemeinsame Anmeldeinformationen verwenden, ist ein absoluter Albtraum. Wo immer möglich, delegieren Sie den Zugriff über ein benutzerdefiniertes Konto. Es gibt immer ein paar Situationen, in denen ein gemeinsames Passwort unvermeidlich ist, aber "Hunderte von gemeinsamen Passwörtern" schreit kritische Designfehler. - Chris Thorpe
Ich stimme zu, Passwörter normalerweise nicht zu teilen, aber es gibt viele Situationen, in denen es notwendig ist, wie Netzwerkgeräte mit einer einzigen Anmeldung, Anbieter-Sites, bei denen alle Systemadministratoren die gleiche Anmeldung für die Bestellung verwenden und SQL-SA-Benutzer oder lokale Administrator-Passwörter notwendig. Deshalb denke ich, dass KeePass dafür am besten ist: Es funktioniert auf mehreren Plattformen, ermöglicht ein hohes Maß an Sicherheit und organisiert leicht Hunderte von Passwörtern. - Paul Kroon
Wir haben eine Variante dazu, bei der wir Root-Passwörter aufgeschrieben haben, aber in einem Safe gesperrt sind, den nur das Systemteam mit Schlüsseln öffnen kann. Unsere Root-Passwörter selbst sind 16 Zeichen lang und werden so erzeugt, dass sie nahezu unmöglich zu merken sind. Ja, da ist eine gewisse Unsicherheit, aber wenn jemand in den Safe einbricht, vermute ich, dass wir größere Probleme haben. - Frenchie
Im Folgenden finden Sie ein echtes Anwendungsszenario für unser Team: Passwörter für webbasierte Anwendungen teilen, die nicht mehrere Anmeldungen für ein einzelnes Konto unterstützen. Wenn also mehr als eine Person im Team auf dieses Konto zugreifen können muss, müssen die Kennwörter für dieses Konto freigegeben werden. - Jordan Reiter


Wir sind mit gegangen Keepass für genau diesen Zweck. Es ist ein großartiges kleines Programm, das alle Ihre Kennwörter in einer verschlüsselten Datenbankdatei speichert. Es gibt zusätzliche Sicherheitsfunktionen, wie zum Beispiel eine Schlüsseldatei mit dem Hauptpasswort für den Zugriff auf die Passwörter. Dies ermöglicht mehrere Sicherheitsebenen (trennen Sie die Schlüsseldatei und die Datenbank), während es für alle bequem ist, mit den verschiedenen Passwörtern zu arbeiten. Beispielsweise können Sie die App und die Schlüsseldatei von einem USB-Laufwerk ausführen, die Datenbank jedoch in Ihrem Netzwerk speichern. Das würde Anmeldeinformationen für die Netzwerkfreigabe, das Hauptkennwort und das physische USB-Laufwerk mit der Schlüsseldatei erfordern.


10
2018-06-02 23:59



KeePass scheint mehrere Plattformen zu unterstützen, ein großer Gewinn in meinen Augen (ich arbeite in einer gemischten Plattform). Die "Auto-Typ" -Funktion sieht auch nützlich aus. - Avery Payne
Dumme Idee, Passwörter im Netzwerk zu behalten. - d-_-b
@Sims - wie teilen Sie sie dann? KeePass verwendet eine verschlüsselte Datei für das Geschäft. Es ist nur eine besser nutzbare Version einer GPG-verschlüsselten Textdatei auf einem Unix-Server, auf die jeder zugreifen kann. - mfinni
@Sims - Normalerweise stimme ich dir zu, aber es wird eine Situation von Sicherheit und Produktivität. Ich möchte nicht das Root-Passwort eines Servers in so etwas setzen, aber das Admin-Passwort eines Layer-2-Switch, der nur eine einzige Anmeldung hat, ist ein guter Kandidat dafür. Es gibt einen Punkt, an dem es mehr Arbeit braucht, Dinge auf sicherere Weise zu tun, als nach einer Sicherheitsverletzung aufzuräumen. Zusätzlich zu all der Verschlüsselung haben Sie eine AD / NTFS-Sicherheit für die Datei und ein wenig Unklarheit, indem Sie die Datei (die irgendeinen Namen haben kann) an einem zufälligen Ort ablegen. - Paul Kroon
Ich habe nicht an eine Windows-Maschine gedacht. Aber ja, wenn Sie nur einen Benutzer für diesen Schalter haben können, dann würde es wahrscheinlich Sinn ergeben. Ansonsten, wie Bill sagt, nein sagen für gemeinsame Passwörter, was auch mein Schlüssel zu Schlüsseln war. - d-_-b


Was sind Best Practices für die gemeinsame Nutzung von Hunderten von Passwörtern bei wenigen Personen?

Einfach, das kommt in zwei Geschmacksrichtungen:

  1. Sie tun nicht, schlicht und einfach. Wenn Sie dies tun, verschieben Sie die Kennwortauthentifizierung an eine externe vertrauenswürdige Autorität und steuern die Authentifizierung von dort aus.

  2. Sie tun dies, aber dabei verfügen Sie über externe Zugriffskontrollen mit Passwörtern oder Sicherheitstoken, die nicht in dem von Ihnen verwendeten System aufgezeichnet sind (d. H. Der Passwörtersatz ist durch ein anderes Passwort geschützt, das nur begrenzt verfügbar ist). Es gibt zahlreiche Probleme damit.

Diese Passwörter schützen unternehmenskritische Daten und können niemals über ein kleines Team hinaus sichtbar sein.

Sie sollten ernsthaft über einen sicheren Authentifizierungsdienst nachdenken, der in einen Verzeichnisdienst integriert ist, um das Problem zu beheben. Die DS / AS-Kombination erstellt eine vertrauenswürdige "Autorität", die als Arbiter für alle Ihre Benutzer und Geräte fungieren kann. Auf Benutzerkonten kann der Zugriff auf das tatsächliche Kennwort, das bei der Authentifizierung verwendet wird, abstrahiert werden, wodurch das Trennen von Kennwörtern von der Zugriffsrichtlinie erleichtert wird. Die Kontrolle der Passwörter erfolgt durch Deaktivierung des Benutzerkontos; Wenn ein Administrator also abreist, wird einfach sein Konto geschlossen und der Zugriff ist beendet (weil das Passwort dieser Person nur den Zugriff gewährt, der auf der Gültigkeit des DS / AS basiert und die Gültigkeit des Accounts bestätigt).

Dies funktioniert nur, wenn Sie sich in einer Umgebung befinden, die es Ihren Geräten / Programmen ermöglicht, ihre Authentifizierungsanforderungen an externe Quellen zu senden, so dass dies möglicherweise keine Lösung für Sie darstellt. Wenn Sie einen signifikanten Prozentsatz von Geräten / Programmen haben, die eine externe Authentifizierung ermöglichen, würde ich dies tun, um mehrere Hundert Passwörter zu einer überschaubaren Liste von etwa einem Dutzend zu konsolidieren. Wenn Sie sich für diesen Weg entscheiden, gibt es mehrere bekannte, bewährte und erprobte Lösungen.

  • Active Directory.  Wahrscheinlich der bekannteste der Gruppe, bietet Kerberos als eine Authentifizierungsoption und bietet LDAP für grundlegende DS.
  • Samba / Winbind.  Betrachten Sie dies als "Active Directory Light", Sie erhalten nicht alle AD-Funktionen, sondern ein älteres Modell auf NT4-Basis (denken Sie an LANMAN-Hash). Dies wird durch die AD-Integration von Samba 4 ersetzt und wird wahrscheinlich "weggehen".
  • Novell-Verzeichnisdienste.  Ich weiß nicht genug darüber, um es zu empfehlen, aber ich weiß, dass es noch existiert. Viele Regierungsstellen betreiben immer noch NDS. Wenn Sie also in diesem "Sektor" arbeiten, wird es für Sie interessant sein. Novell portierte NDS vor kurzem als Linux-Dienst, aber ich weiß nicht, ob das immer noch ein aktives Produkt ist (circa 2005).
  • LDAP + Kerberos.  Dies ist im Grunde "hausgewachsen" Active Directory, abzüglich aller "netten Funktionen". Sie sind jedoch auch bekannte Komponenten mit einer stabilen, ausgereiften Codebasis, so dass die Integration dieser Dienste normalerweise das Maß der "Anpassung" ist, das benötigt wird, um die Dinge zum Laufen zu bringen.
  • SSH Keys + (hier Systemadministrationsprogramm einfügen, wahrscheinlich Marionette).Nur nützlich, wo Sie SSH auf der ganzen Linie haben und auf diese Weise auf alle Geräte zugegriffen wird. Schlüssel können nach Bedarf ausgegeben und widerrufen werden, und Passwörter werden "irrelevant", da der SSH-Schlüssel Zugriff gewährt. Mit einem System wie Puppet können Sie Hunderte von Maschinen aktualisieren, indem Sie Befehle in Groß- und Kleinbuchstaben erteilen, um SSH-Schlüssel hinzuzufügen / zu entziehen.
  • Eine Kombination aus den oben genannten.

Es gibt auch eine Frage, wie viel Sicherheit Sie benötigen. Sie haben nicht angegeben, ob mit "mission critical" gemeint ist, dass nukleare Sprengköpfe auf Städte niederregnen können, oder ob "mission critical" bedeutet, dass die letzte Lieferung von Furbies nicht in die Stadt gelangt. Es würde wirklich helfen, wenn es etwas gibt, das eine Risiko- / Bedrohungsanalyse beschreibt.


5
2018-06-03 20:37





Ich weiß, dass dies eine alte Frage ist, aber ich bin erst kürzlich auf eine OpenSource-basierte Lösung gestoßen Firmentresor das mag für manche interessant sein. Ich hatte noch keine Gelegenheit, es auszuprobieren.


2
2017-12-16 00:31





Wir benutzen ein Programm namens Passwort sicher. es ist nett und sehr sicher, Sie können die Datenbank auf einem Netzwerklaufwerk einrichten und jedem, der es benötigt, Zugriff und das Passwort für den Safe selbst geben, der dann alle Benutzernamen und Passwörter sicher verschlüsselt speichert.


1
2018-06-03 02:57





Ein paar Dinge:

  • Wie andere gesagt haben, ist dies eine schlechte Idee. Verwenden Sie ein LDAP, etc
  • Wenn Sie aus irgendeinem Grund verpflichtet sind, dies zu tun, zumindest die Passwörter zu konsolidieren. 100 unmanaged Passwörter bedeutet, dass Sie keine Passwörter aktualisieren.
  • Halte sie auf dem Papier. Stellen Sie sicher, dass die Mitarbeiter das Papier mit einer anderen Farbtinte signieren, damit leichter festgestellt werden kann, ob ein Blatt kopiert wurde.
  • Wenn Sie mit Unix arbeiten, verwenden Sie S / KEY, um Einmalpasswörter zu generieren. Bewahre das an einem sicheren Ort auf.

Sie müssen auch über die mechanischen Sicherheitsmaßnahmen hinausgehen, indem Sie Papierpasswörter in einen Safe legen oder die Passwörter verschlüsseln. Lesen Sie, wie Unternehmen mit ausgereiften Sicherheitsmodellen Schlüssel und sichere Kombinationen sichern. Ich empfehle nicht zu tun, was Sie tun möchten, aber wenn Sie tun:

  • Die Personen, die die Kennwörter verwenden, können den Zugriff auf die Kennwörter nicht steuern. Eine bestimmte Gruppe von Personen, die einer anderen Managementkette angehören, muss den Zugriff auf den Safe, die Schublade usw. kontrollieren. Wenn Sie eine Finanzgruppe haben, können sie ein Kandidat sein. Vielleicht der VP des Marketings usw.
  • Es muss ein schriftliches Protokoll vorhanden sein, wenn der Safe geöffnet wird und jemand ein Passwort in Besitz nimmt.
  • Das Passwort muss innerhalb von 24 Stunden nach dem Auschecken geändert werden.

Verfahren wie diese sind ein Schmerz im Nacken, aber werden als ein Ansporn für Leute dienen, vernünftigere Praktiken anzunehmen. Wenn du nicht so etwas machst wie das, was ich beschrieben habe, mach dir keine Mühe, die Passwörter abzuschliessen, weil du sowieso eines Tages durchbrichst.


1
2018-06-03 15:06