Хранение редко используемых одноцелевых паролей
Как вы справляетесь с хранением паролей, которые администраторы не могут запоминать по своей природе? Такие как:
- Пароль администратора / root, когда каждый входит в систему, используя свою учетную запись с правами администратора
- Пароли сервисных аккаунтов, которые устанавливаются только во время настройки, например SqlServerAgent, SharePointSearchService и т. Д.
- Интернет-регистрации для всей компании, например Инструменты Google для веб-мастеров, GoDaddy / VeriSign, MSDN и т. Д.
Я определенно не хочу повторно использовать один пароль для стольких разных областей. Варианты, которые мы рассмотрели:
- Зашифрованный файл в сетевой папке
- Общая база данных KeePass
- Wiki, защищенная паролем
- Единый базовый пароль с небольшими изменениями для каждой области
Это приходит в голову, когда я пытаюсь установить защищенный паролем PFX-файл из дома с одноразовым паролем, хранящимся в записной книжке на моем закрытом столе на работе.
Я работаю на выставке с несколькими специалистами. Мы используем Keepass / Keepassx, и файлы хранятся в репозитории Subversion, который доступен только через SSH с аутентификацией на основе ключей.
Использование VCS позволяет нам постоянно обновлять копии хранилищ паролей в автономном режиме. Если вы храните файл паролей на сервере, что произойдет, когда этот сервер выйдет из строя, или если он хранится в Интернете, что произойдет, когда Интернет выйдет из строя.
Я использую открытый исходный код PasswordSafe приложение для хранения моих личных паролей. Я храню файл базы данных на томе DropBox, поэтому он доступен откуда угодно. (кончик шляпы: Джоэл)
Нет причин, по которым файл базы данных паролей не может храниться в общей сетевой папке, и есть возможность открыть файл паролей в режиме только для чтения.
Когда я настраиваю службы, которые редко нужно будет входить в систему, я стараюсь использовать самый непонятный пароль (например, начало хеша md5), а затем просто сохраняю его в зашифрованной / защищенной паролем электронной таблице.
Это не дает вам беспокоиться о том, что, если кто-то каким-то образом получит пароль для вашего доменного имени, он сможет получить доступ ко всей системе.
Я сохраняю пароли в пароль безопасен (или один из варианты) и храните базу данных, защищенную паролем, в папке, доступной для Dropbox. (Dropbox синхронизирует файлы в Интернете и на нескольких компьютерах).
Я использую Linux и в основном использую командную строку pwsafe а иногда MyPasswordSafe - оба доступны в репозиториях ubuntu.
Dropbox работает в Windows, Mac и Linux, и есть программы, которые также используют формат защиты паролей на всех трех платформах. В оригинал работает на Windows, есть версия Java который работает в Windows, Mac и Linux. Для более полного списка см. страница связанных проектов который показывает поддержку платформ для Windows, Windows Mobile, Mac, Linux, BSD, Solaris, модулей perl, поддержку C # ...
Для одноразовых паролей я установил и забыл. Если мне нужно что-то с ним сделать, я снова сбрасываю его, зная, что он имеет единственную цель. Это также мешает мне использовать учетную запись для второй цели. Имя учетной записи будет соответствовать цели и может быть длинным, многословным.
я использую KeePass и альтернатива Linux KeePassX на сетевой папке. Всегда открывать только для чтения, если мне не нужно специально вносить изменения.
Вы можете использовать такой инструмент, как создатель паролей чтобы создать для вас хешированные пароли.
