Ведение и поддержка списка паролей

Я всегда делаю это с помощью простого текстового файла, зашифрованного всеми ключами GPG соответствующих администраторов, под контролем источника.

Это дает несколько преимуществ. Во-первых, это заставляет всех ваших администраторов устанавливать GPG, использовать его, а также создавать и обмениваться парами ключей. Это имеет много дополнительных преимуществ с точки зрения безопасности (например, администраторы могут аутентифицировать запросы друг от друга, что делает атаки социальной инженерии много Сильнее).

Во-вторых, безопасность не в каком-то централизованном приложении, а в управлении ключами отдельных лиц. Вы можете взломать сервер, на котором хранится зашифрованный файл, сколько захотите, все, что вы получите, это зашифрованный текст. Вы можете сохранить локальную копию этого файла на любом устройстве, которое вам подходит, не подвергая опасности чью-либо безопасность и не устанавливая никаких приложений, кроме GPG (которые в любом случае должны иметься у всех, кто работает с безопасностью, см. Выше).

В-третьих, благодаря системе контроля версий вы всегда можете сделать шаг назад, чтобы узнать, каким был корпоративный пароль root для рабочего стола три года назад, когда кто-то выкопал машину из подвала и настаивал на ее реанимации. сейчас. Вы шифруете текущую версию документа только ключами администраторов, работающих в настоящее время, но вы всегда можете добавить ключ условного депонирования на случай чрезвычайных ситуаций (парольная фраза и закрытый ключ, хранящиеся на защищенном, защищенном от взлома носителе и используемые только один раз). сгенерируйте новый ключ условного депонирования, если потребуется использовать текущий).

KeePass это менеджер паролей, который я считаю очень полезным, он кроссплатформенный, имеет такие функции, как генерация паролей, поддержание сроков годности и т. д.

Но это однопользовательский инструмент, поэтому я не уверен, что он соответствует вашим потребностям, если только вы не запретите пользователям менять свои пароли и вместо этого сделаете это централизованно. Возможно ли это / приемлемо, будет зависеть от вашей политики безопасности.

Вероятно, лучше всего (в зависимости от политик и т.п.), чтобы каждый пользователь сохранял свой собственный пароль и использовал права администратора для сброса пароля пользователя, который забыл свой пароль.

Как сказано выше KeePass + Я использую Dropbox для синхронизации kdbx на нескольких устройствах (ПК, ноутбук, смартфон Android, это везде).

Вы даже можете установить даты истечения срока действия пароля, чтобы напомнить вам.

На данный момент это лучший инструмент на рынке.

Что касается политик паролей, я думаю, вы должны сами найти то, что лучше всего для вашей компании, просто используйте здравый смысл или Google для лучших практик, например. Политика MIT.

Также существует онлайн-менеджер паролей под названием LastPass с возможностью обмена. Они также предоставляют LastPass Enterprise добавление функциональности, полезной для организаций.

Вы должны прочитать о технологии, лежащей в основе LastPass, поскольку в ней говорится, что шифрование / дешифрование выполняется локально на вашем ПК, поэтому только зашифрованные данные проходят по сети и хранятся в центрах обработки данных LastPass. Другая важная вещь заключается в том, что вы можете экспортировать данные LastPass, если случится так, что LastPass выходит из бизнеса, ваши пароли не будут

В настоящее время мы оцениваем http://www.teampass.net/ как инструмент для управления паролями в нашей команде. Пока что он работает хорошо и может даже импортировать записи, экспортированные с помощью KeePass.

поскольку cpm не упоминается, я напишу об этом несколько предложений.

cpm это простой инструмент, основанный на пользовательском интерфейсе ncurses. Он хранит вашу базу паролей в файле, зашифрованном с помощью GPG, который при желании можно распространять или хранить в репозитории git. Данные хранятся в формате XML, поэтому их легко получить и использовать в других программах.