Wie teilt ein Team von Systemadministratoren Kennwörter sicher?

Was sind bewährte Methoden zum Teilen von Hunderten von Kennwörtern mit einigen wenigen Personen? Diese Passwörter schützen geschäftskritische Daten und können nur von einem kleinen Team angezeigt werden.

Ich würde wahrscheinlich eine benutzerdefinierte webbasierte Lösung schreiben, die in einem Unternehmensintranet gehostet wird. ( Besuchen Sie http://lastpass.com, um sich inspirieren zu lassen oder um es zu verwenden. Das Teilen von Passwörtern ist eine der Funktionen des Programms, funktioniert jedoch möglicherweise nicht für Ihr Volume.)

EDIT : Sicher, beste Lösung, teile sie nicht. Das Speichern von Klartextkennwörtern auf einem beliebigen Medium ist gefährlich, insbesondere wenn der Zweck des Speicherns darin besteht, sie weiterzugeben. Es gibt nahezu unendlich viele Lösungen, von denen jede eine Gefahr mit sich bringt. Legen Sie sie auf ein verschlüsseltes Image, brennen Sie das Image auf eine einzelne CD, verwahren Sie die CD in einem Safe, den nur ein bewaffneter Wachmann öffnen kann, und lassen Sie sich von autorisierten Personen einen Lichtbildausweis vorlegen, um ihn entsperren zu lassen.

Der Punkt ist, dass wir Ihr Szenario nicht wirklich kennen. Warum teilen Sie Hunderte von geschäftskritischen Passwörtern? Sind sie für Ihr Backoffice-Intranet, VPN oder Kundenpasswörter, die Sie aus irgendeinem Grund im Klartext aufbewahren? Sind alle Personen, mit denen Sie es teilen müssen, in derselben Installation? Funktioniert eine physische Übertragung wie eine verschlüsselte CD oder eine gedruckte Tabelle, die in einem Safe gespeichert ist? Oder sind Ihre Systemadministratoren auf der ganzen Welt verteilt und stellen die einzige Lösung dar , um sie auf elektronischem Wege zu teilen ?

Es wird empfohlen, die Kennwörter nicht weiterzugeben. Verwenden Sie Tools wie sudo, um den Benutzern den Zugriff zu ermöglichen, den sie von ihrem eigenen Konto benötigen. Wenn Sie nur wenige Benutzer haben, sollte jeder bei Bedarf über ein eigenes Konto verfügen. LDAP (Unix / Linux) und Active Directory sind eine gute Lösung, um Zugriff auf mehrere Server aus einer gemeinsamen Datenbank zu gewähren.

Wenn eine schriftliche Kopie eines Passworts erforderlich ist, versiegeln Sie es in einem Umschlag, der auf dem Siegel signiert und datiert ist. Ändern Sie das Passwort, wenn es verwendet wird. Wenn das Passwort geändert wird, versiegeln Sie es in einem neuen Umschlag.

Verwenden Sie für Kennwörter, die wirklich freigegeben werden müssen, eines der Kennworttools wie Keepass, dessen Datenbank sich in einem Netzwerk befinden kann. Tools mit Clients für mehrere Plattformen sind besser. Überlegen Sie, ob Sie mehr als eine Datenbank benötigen. Denken Sie daran, dass Sie wirklich jedem vertrauen müssen, der Zugriff auf diese Daten hat.

Genau zu diesem Zweck haben wir uns für KeePass entschieden . Es ist ein tolles kleines Programm, das alle Ihre Passwörter in einer verschlüsselten Datenbankdatei speichert. Es gibt zusätzliche Sicherheitsfunktionen, z. B. die Notwendigkeit einer Schlüsseldatei zusammen mit dem Hauptkennwort, um auf die Kennwörter zuzugreifen. Dies ermöglicht mehrere Sicherheitsebenen (trennen Sie die Schlüsseldatei und die Datenbank), während es für alle Benutzer bequem ist, mit den verschiedenen Kennwörtern zu arbeiten. Beispielsweise können Sie die App und die Schlüsseldatei von einem USB-Laufwerk ausführen, die Datenbank jedoch irgendwo in Ihrem Netzwerk speichern. Hierfür sind Anmeldeinformationen für die Netzwerkfreigabe, das Hauptkennwort und das physische USB-Laufwerk mit der Schlüsseldatei erforderlich.

Was sind bewährte Methoden zum Teilen von Hunderten von Kennwörtern mit einigen wenigen Personen?

Ganz einfach, das gibt es in zwei Varianten:

1. Sie nicht, schlicht und einfach. Wenn Sie sich dazu entscheiden, verschieben Sie die Kennwortauthentifizierung an eine externe vertrauenswürdige Stelle und steuern die Authentifizierung von dort aus.

2. Dabei verfügen Sie jedoch über externe Zugriffskontrollen mit Kennwörtern oder Sicherheitstoken, die nicht in dem von Ihnen verwendeten System aufgezeichnet sind (dh, die Aufzeichnung von Kennwörtern wird durch ein anderes Kennwort geschützt, das nur begrenzt verfügbar ist). Hier gibt es zahlreiche Probleme.

Diese Passwörter schützen geschäftskritische Daten und können nur von einem kleinen Team angezeigt werden.

Sie sollten einen sicheren Authentifizierungsdienst in Betracht ziehen, der in einen Verzeichnisdienst integriert ist, um das Problem zu beheben. Die DS / AS-Kombination erstellt eine vertrauenswürdige "Autorität", die als Vermittler für alle Ihre Benutzer und Geräte fungieren kann. Bei Benutzerkonten kann der Zugriff vom eigentlichen Kennwort für die Authentifizierung abweichen, sodass Kennwörter einfach von der Zugriffsrichtlinie "getrennt" werden können. Die Kontrolle der Passwörter erfolgt durch Deaktivierung des Benutzerkontos. Wenn ein Administrator das Unternehmen verlässt, wird sein Konto einfach geschlossen, und sein Zugriff ist nicht mehr möglich (da das Kennwort dieser Person den Zugriff nur auf der Grundlage der Gültigkeit des DS / AS gewährt, der die Gültigkeit des Kontos bestätigt).

Dies funktioniert nur, wenn Sie sich in einer Umgebung befinden, in der Ihre Geräte / Programme ihre Authentifizierungsanforderungen an externe Quellen weiterleiten können. Daher ist dies möglicherweise keine Lösung für Sie . Wenn Sie einen erheblichen Prozentsatz an Geräten / Programmen haben, die externe Authentifizierung unterstützen, würde ich dies tun, um nur einige hundert Kennwörter auf eine überschaubare Liste von beispielsweise einem Dutzend zusammenzufassen. Wenn Sie sich für diesen Weg entscheiden, gibt es verschiedene, bekannte und erprobte Lösungen von der Stange.

• Active Directory. Der wahrscheinlich bekannteste der Gruppe bietet Kerberos als Authentifizierungsoption und LDAP für Basis-DS.
• Samba / Winbind. Stellen Sie sich dies als "Active Directory Light" vor, Sie erhalten nicht alle Funktionen von AD, sondern ein älteres Modell, das auf NT4 basiert (denken Sie an LANMAN-Hash). Dies wird durch die AD-Integration von Samba 4 ersetzt und wird wahrscheinlich "verschwinden".
• Novell-Verzeichnisdienste. Ich weiß nicht genug darüber, um es zu empfehlen, aber ich weiß, dass es immer noch existiert. Viele Regierungsbehörden betreiben immer noch NDS. Wenn Sie also in diesem "Sektor" arbeiten, ist dies für Sie von Interesse. Novell hat NDS kürzlich für den Betrieb als Linux-Dienst portiert, aber ich weiß nicht, ob das noch ein aktives Produkt ist (circa 2005).
• LDAP + Kerberos. Dies ist im Grunde genommen "einheimisches" Active Directory, abzüglich aller "netten Funktionen". Es handelt sich jedoch auch um bekannte Komponenten mit einer stabilen, ausgereiften Codebasis. Daher entspricht die Integration dieser Dienste in der Regel dem Grad der "Anpassung", der erforderlich ist, damit die Dinge funktionieren.
• SSH Keys + (Systemverwaltungsprogramm hier einfügen, wahrscheinlich Marionette). Nur nützlich, wenn Sie SSH auf der ganzen Linie haben und auf alle Geräte auf diese Weise zugegriffen wird. Schlüssel können bei Bedarf ausgehändigt und widerrufen werden, und Kennwörter werden "irrelevant", wenn der SSH-Schlüssel den Zugriff gewährt. Wenn Sie ein System wie Puppet verwenden, können Sie Hunderte von Maschinen aktualisieren, indem Sie Befehle zum Hinzufügen / Widerrufen von SSH-Schlüsseln eingeben.
• Eine Kombination der oben genannten.

Es ist auch eine Frage, wie viel Sicherheit Sie benötigen. Sie haben nicht angegeben, ob mit "missionskritisch" gemeint ist, dass nukleare Sprengköpfe auf Städte niederprasseln könnten, oder ob "missionskritisch" bedeutet, dass die neueste Lieferung von Furbies nicht in die Stadt gelangt. Es wäre wirklich hilfreich, wenn es etwas gäbe, das eine Risiko- / Bedrohungsbewertung beschreibt.

Ein paar Dinge:

• Wie andere gesagt haben, ist dies eine schlechte Idee. Verwenden Sie ein LDAP usw
• Wenn Sie aus irgendeinem Grund dazu verpflichtet sind, konsolidieren Sie zumindest die Kennwörter. 100 nicht verwaltete Kennwörter bedeuten, dass Sie keine Kennwörter aktualisieren.
• Halten Sie sie auf Papier. Das Personal muss das Papier mit einer anderen Farbe unterzeichnen, damit leichter festgestellt werden kann, ob ein Blatt kopiert wurde.
• Wenn Sie unter Unix arbeiten, verwenden Sie S / KEY, um Einmalpasswörter zu generieren. Bewahren Sie das an einem sicheren Ort auf.

Sie müssen auch über die mechanischen Sicherheitsmaßnahmen hinausgehen, die erforderlich sind, um Papierkennwörter in einem Safe abzulegen oder die Kennwörter zu verschlüsseln. Lesen Sie, wie Unternehmen mit ausgereiften Sicherheitsmodellen Schlüssel und sichere Kombinationen sichern. Ich empfehle nicht, das zu tun, was Sie tun möchten, aber wenn Sie es tun:

• Die Leute, die die Passwörter verwenden, können den Zugriff auf die Passwörter nicht kontrollieren. Eine bestimmte Gruppe von Personen unter einer anderen Verwaltungskette muss den Zugriff auf den Safe, die Schublade usw. kontrollieren. Wenn Sie eine Finanzgruppe haben, kann dies ein Kandidat sein. Vielleicht der Vizepräsident für Marketing usw.
• Es muss ein schriftliches Protokoll vorliegen, wenn der Safe geöffnet wird und jemand ein Passwort besitzt.
• Das Passwort muss innerhalb von 24 Stunden nach dem Auschecken geändert werden.

Verfahren wie dieses sind schmerzhaft im Nacken, werden aber als Anreiz für Menschen dienen, vernünftigere Praktiken anzuwenden. Wenn Sie nicht das tun, was ich beschrieben habe, müssen Sie sich nicht die Mühe machen, die Passwörter abzusperren, da Sie sowieso nur eines Tages verletzt werden.

Ich weiß, dass dies eine alte Frage ist, aber ich bin erst kürzlich auf eine webbasierte Open Source-Lösung namens Corporate Vault gestoßen , die für manche interessant sein könnte. Ich hatte noch keine Gelegenheit, es auszuprobieren.

Wir verwenden ein Programm namens Password Safe . Es ist schön und sehr sicher. Sie können die Datenbank auf einem Netzwerklaufwerk einrichten und jedem, der Zugriff darauf benötigt, und das Kennwort für den Safe selbst zuweisen, in dem dann alle Benutzernamen und Kennwörter sicher verschlüsselt gespeichert werden.

https://pypi.python.org/pypi/django-pstore/ verwendet die GPG-Verschlüsselung pro Benutzer für freigegebene Kennwörter (und alle anderen Daten, die Sie möglicherweise freigeben möchten). Der Server kennt keine Passwörter, er speichert nur die verschlüsselten Daten. Jeder verwendet seinen eigenen privaten Schlüssel, um die freigegebenen Geheimnisse zu entschlüsseln.

Das System umfasst eine Rechteverwaltung: Nicht jeder erhält vollständigen Zugriff.

Wir verwenden https://passwork.me als selbst gehostete Lösung. Sie können Kennwörter aber auch in der Cloud speichern.

SPB Wallet ist eine gute Lösung, mit der wir PW safe by ghost verwendet haben. Mit SPB Wallet können Sie jedoch sowohl eine Netzwerkfreigabe als auch ein iPhone synchronisieren, wenn Sie die App erhalten. Es hat auch einen eingebauten Passwortgenerator und Sie können sie von einfachen Passwörtern bis zu extrem komplexen Passwörtern generieren. Sie können das Passwort auch kopieren, während das Passwort mit einem Sternchen versehen ist. Wenn also jemand auf der Suche ist, können Sie es kopieren und einfügen, ohne dass jemand das Passwort sieht. Die PC-App wird automatisch gesperrt, sobald für einen festgelegten Zeitraum keine Aktivität erfolgt.

Eine weitere Option ist Azure Key Vault, in dem Ihre Geheimnisse sicher gespeichert werden und Sie programmgesteuert auf sie zugreifen können, Ihre Kennwörter einfach drehen können usw. Keine schöne Benutzeroberfläche dafür, aber wenn Sie mit dem Befehlszeilenzugriff zufrieden sind, ist dies gut.

Wir empfehlen, so wenig Passwörter wie möglich mit anderen zu teilen.

Daher haben wir zum Beispiel: - Verwenden Sie my.cnf im Stammverzeichnis für Kennwörter zur Datenbank. - Verwenden Sie ssh-Schlüssel, um sich bei Servern anzumelden, und haben Sie ein Root-Kennwort, das nur über die Konsole zulässig ist. Sie müssen also physischen / bmc-Zugriff auf den Server haben ) - benutze ldap überall (ssh, bmc, switch, redmine, ....)

Es gibt jedoch nur wenige Situationen, in denen wir diesen Ansatz nicht anwenden können (z. B. root-Passwort). Dann verwenden wir keepass auf unserem gemeinsam genutzten Speicher, aber wir behalten dort so wenig wie 10 Passwörter, die benötigt werden.

Sehr gute frage Ich würde mich für andere Antworten interessieren.

Hier ist, was ich tue, aber zuerst empfehle ich, Pre-Shared Keys zu verwenden, wo dies möglich ist. Ich weiß jedoch nicht, ob dies mit Windows-Systemen möglich ist.

Da die Anzahl der Passwörter gering sein sollte (Sie verwenden nach Möglichkeit Schlüssel), verwende ich eine mit gpg verschlüsselte Nur-Text-Datei auf einem System ohne Netzwerkkarte. Also (1) benötigen Sie einen physischen Zugang und (2) ein Passwort.

der Übersichtlichkeit halber bearbeitet