web-dev-qa-db-fra.com

Comment une équipe d'administrateurs systèmes partage-t-elle les mots de passe en toute sécurité?

Quelles sont les meilleures pratiques pour partager des centaines de mots de passe entre quelques personnes? Ces mots de passe protègent les données essentielles à la mission et ne peuvent jamais être visibles au-delà d'une petite équipe.

83
Chris Henry

J'écrirais probablement une solution Web personnalisée hébergée sur un intranet d'entreprise. (jetez un œil à http://lastpass.com pour vous inspirer ou pour l'utiliser. Le partage de mots de passe est l'une de ses fonctionnalités, bien que cela puisse ne pas fonctionner pour votre volume.)

[~ # ~] modifier [~ # ~] : Bien sûr, la meilleure solution, ne les partagez pas. Le stockage de mots de passe en texte clair sur n'importe quel support est dangereux, en particulier lorsque leur objectif est de les partager. Il existe un nombre presque infini de solutions, chacune apportant un péril associé. Pourquoi ne pas les mettre sur une image disque cryptée, graver cette image sur un seul CD, mettre le CD dans un coffre-fort qu'un seul garde armé peut ouvrir et demander à des personnes autorisées de présenter une pièce d'identité avec photo pour la déverrouiller?

Le fait est que nous ne connaissons pas vraiment votre scénario. Pourquoi partagez-vous des centaines de mots de passe critiques? S'agit-il de votre intranet backoffice, VPN ou s'agit-il de mots de passe clients que vous conservez en clair pour une raison quelconque? Toutes les personnes avec lesquelles vous devez le partager sont-elles dans la même installation? Un transfert physique comme un CD crypté ou une table imprimée stocké dans un coffre-fort fonctionnerait-il réellement? Ou vos administrateurs système sont-ils répartis dans le monde entier, faisant des moyens électroniques de les partager la solution seulement?

14
msanford

La meilleure pratique consiste à ne pas partager les mots de passe. Utilisez des outils comme Sudo pour permettre aux utilisateurs d'obtenir l'accès dont ils ont besoin à partir de leur propre compte. Si vous avez quelques utilisateurs, chacun devrait avoir ses propres comptes si nécessaire. LDAP (Unix/Linux) et Active Directory sont une bonne solution pour accorder l'accès à plusieurs serveurs à partir d'une base de données commune.

Lorsqu'il est nécessaire d'avoir une copie écrite d'un mot de passe, scellez-le dans une enveloppe signée et datée sur le sceau. Modifiez le mot de passe lorsqu'il est utilisé. Lorsque le mot de passe est changé, scellez-le dans une nouvelle enveloppe.

Pour les mots de passe qui doivent vraiment être partagés, utilisez l'un des outils de mot de passe comme Keepass qui peut avoir sa base de données sur un réseau. Les outils avec des clients pour plusieurs plates-formes sont meilleurs. Demandez-vous si vous avez besoin de plusieurs bases de données. N'oubliez pas que vous devez vraiment faire confiance à tous ceux qui ont accès à ces données.

38
BillThor

Nous avons choisi KeePass dans ce but précis. C'est un excellent petit programme qui stocke tous vos mots de passe dans un fichier de base de données crypté. Il existe des fonctionnalités de sécurité supplémentaires telles que la nécessité d'un fichier de clé avec le mot de passe principal pour accéder aux mots de passe. Cela permet plusieurs couches de sécurité (séparez le fichier de clé et la base de données), tout en gardant la commodité pour tout le monde de travailler avec tous les différents mots de passe. Par exemple, vous pouvez exécuter l'application et le fichier de clé à partir d'une clé USB, mais stocker quelque part la base de données sur votre réseau. Cela nécessiterait des informations d'identification pour le partage réseau, le mot de passe principal et le lecteur USB physique avec le fichier de clé.

11
Paul Kroon

Quelles sont les meilleures pratiques pour partager des centaines de mots de passe entre quelques personnes?

Facile, cela se décline en deux saveurs:

  1. Vous ne le faites pas, simplement et simplement. Si vous choisissez de le faire, vous remettez l'authentification par mot de passe à une autorité de confiance externe et contrôlez l'authentification à partir de là.

  2. Vous le faites, mais ce faisant, vous disposez de contrôles d'accès externes qui ont des mots de passe ou des jetons de sécurité qui ne sont pas enregistrés dans le système que vous utilisez (c'est-à-dire que l'enregistrement des mots de passe est protégé par un autre mot de passe dont la disponibilité est limitée). Cela pose de nombreux problèmes.

Ces mots de passe protègent les données essentielles à la mission et ne peuvent jamais être visibles au-delà d'une petite équipe.

Vous devriez sérieusement envisager un service d'authentification sécurisé qui s'intègre à un service d'annuaire pour résoudre le problème. La combinaison DS/AS crée une "autorité" de confiance qui peut agir comme arbitre pour tous vos utilisateurs et appareils. Les comptes d'utilisateurs peuvent avoir leur accès soustrait au mot de passe réel utilisé dans l'authentification, ce qui facilite la "déconnexion" des mots de passe de la stratégie d'accès. Le contrôle des mots de passe se fait par désactivation du compte de l'utilisateur; Donc, si un administrateur quitte, vous fermez simplement son compte et son accès a disparu (car le mot de passe de cette personne n'accorde l'accès qu'en fonction de la validité du DS/AS confirmant la validité du compte).

Cela ne fonctionnera que lorsque vous êtes dans un environnement qui permet à vos appareils/programmes de shunter leurs demandes d'authentification à des sources externes, donc ce n'est peut-être pas une solution pour vous. Si vous avez un pourcentage important d'appareils/programmes pouvant prendre en charge l'authentification externe, alors j'irais de l'avant et ferais cela, ne serait-ce que pour consolider plusieurs centaines de mots de passe en une liste gérable, disons, une douzaine. Si vous décidez de suivre cette voie, il existe plusieurs solutions prêtes à l'emploi, bien connues et bien testées.

  • Active Directory. Probablement le plus connu du groupe, vous propose Kerberos comme option d'authentification et fournit LDAP pour DS de base.
  • Samba/Winbind. Considérez cela comme "Active Directory Light", vous n'obtenez pas toutes les fonctionnalités d'AD mais plutôt un ancien modèle basé sur NT4 ( pensez LANMAN hash). Cela sera supplanté par l'intégration AD de Samba 4 et "disparaîtra probablement".
  • Services d'annuaire Novell. Je n'en connais pas assez pour le recommander, mais je sais qu'il existe toujours. De nombreuses entités gouvernementales gèrent toujours NDS, donc si vous travaillez dans ce "secteur", cela vous intéressera. Novell a récemment porté NDS pour fonctionner en tant que service Linux, mais je ne sais pas si c'est toujours un produit actif (vers 2005).
  • LDAP + Kerberos. Il s'agit essentiellement d'Active Directory "fait maison", moins toutes les "fonctionnalités intéressantes". Cependant, ce sont également des composants connus avec une base de code stable et arrivée à maturité, de sorte que l'intégration de ces services est généralement le degré de "personnalisation" nécessaire pour faire fonctionner les choses.
  • Clés SSH + (insérer le programme d'administration système ici, probablement marionnette). Utile uniquement lorsque vous disposez de SSH à tous les niveaux et que tous les périphériques sont accessibles de cette manière. Les clés peuvent être remises et révoquées selon les besoins, et les mots de passe deviennent "non pertinents" à mesure que la clé SSH accorde l'accès. L'utilisation d'un système comme marionnette vous permet de mettre à jour des centaines de machines en émettant des commandes en masse pour ajouter/révoquer des clés SSH.
  • Une combinaison de ce qui précède.

Il y a aussi une question de combien de sécurité vous avez besoin. Vous n'avez pas précisé si par "mission critique" vous voulez dire que des ogives nucléaires pourraient pleuvoir sur les villes, ou si "mission critique" signifie que la dernière expédition de Furbies ne parviendra pas en ville. Cela aiderait vraiment s'il y avait quelque chose qui décrivait une évaluation des risques/menaces.

5
Avery Payne

Je sais que c'est une vieille question, mais je suis récemment tombé sur une solution Web open source appelée Corporate Vault qui peut être intéressante pour certains. Je n'ai pas encore eu l'occasion de l'essayer.

2
3dinfluence

Quelques choses:

  • Comme d'autres l'ont dit, c'est une mauvaise idée. Utilisez un LDAP, etc.
  • Si vous vous engagez à le faire pour une raison quelconque, consolidez au moins les mots de passe. 100 mots de passe non gérés signifie que vous ne mettez pas à jour les mots de passe.
  • Gardez-les sur papier. Exiger que le personnel signe le papier dans une encre de couleur différente pour qu'il soit plus facile de déterminer si une feuille a été copiée.
  • Si vous êtes sous Unix, utilisez S/KEY pour générer des mots de passe à usage unique. Rangez-le dans un endroit sûr.

Vous devez également aller au-delà des mesures de sécurité mécaniques consistant à mettre des mots de passe papier dans un coffre-fort ou à chiffrer les mots de passe. Découvrez comment les organisations dotées de modèles de sécurité matures sécurisent les clés et les combinaisons sécurisées. Je ne recommande pas de faire ce que vous voulez faire, mais si vous le faites:

  • Les personnes qui utiliseront les mots de passe ne peuvent pas contrôler l'accès aux mots de passe. Un groupe distinct de personnes appartenant à une chaîne de gestion différente doit contrôler l'accès au coffre-fort, au tiroir, etc. Si vous avez un groupe financier, il peut être candidat. Peut-être le vice-président du marketing, etc.
  • Il doit y avoir un journal écrit lorsque le coffre-fort est ouvert et que quelqu'un prend possession d'un mot de passe.
  • Le mot de passe doit être changé dans les 24 heures suivant son extraction.

Des procédures comme celle-ci sont douloureuses, mais elles inciteront les gens à adopter des pratiques plus saines. Si vous ne faites pas quelque chose comme ce que j'ai décrit, ne vous embêtez pas à passer par les mouvements de verrouillage des mots de passe, car vous serez de toute façon un jour violé.

2
duffbeer703

https://pypi.python.org/pypi/Django-pstore/ utilise le cryptage GPG par utilisateur pour les mots de passe partagés (et toutes les autres données que vous aimeriez partager). Le serveur ne connaît aucun mot de passe, il ne contient que les données cryptées. Chacun utilise sa propre clé privée pour décrypter les secrets partagés.

Le système inclut la gestion des droits: tout le monde n'a pas un accès complet.

1
wdoekes

Nous utilisons https://passwork.me comme solution auto-hébergée. Mais vous pouvez également stocker des mots de passe dans leur cloud.

1
Iliya Garakh

nous utilisons un programme appelé Password Safe . c'est agréable et très sécurisé, vous pouvez définir la base de données sur un lecteur en réseau et donner à tous ceux qui en ont besoin l'accès et le mot de passe au coffre-fort lui-même, qui stocke ensuite tous les noms d'utilisateur et mots de passe cryptés en toute sécurité.

1
user44650

Le portefeuille SPB est un bon que nous utilisions pour utiliser PW safe par fantôme, mais le portefeuille SPB vous permet de vous synchroniser avec un partage réseau et également de synchroniser avec votre iphone si vous obtenez l'application. Il dispose également d'un générateur de mots de passe intégré et vous pouvez les générer à partir de mots de passe simples à des mots de passe extrêmement complexes. Vous pouvez également copier le mot de passe alors que le mot de passe est toujours en astérisque, donc si quelqu'un vous cherche, vous pouvez le copier et le coller sans que personne ne voie le mot de passe. L'application PC se verrouille automatiquement lorsqu'il n'y a plus d'activité pendant une période définie.

0
JohnyV

Une autre option est Azure Key Vault qui stocke en toute sécurité vos secrets et vous permet d'autoriser l'accès à ceux-ci par programme, de faire pivoter facilement vos mots de passe, etc. Pas de belle interface utilisateur pour cela, mais si vous êtes d'accord avec la commande- l'accès en ligne est bon.

0
Rory

Notre meilleure pratique consiste à partager le moins de mots de passe possible.

Par conséquent, nous par exemple: - utilisons my.cnf dans le répertoire racine de la racine pour les mots de passe de la base de données - utilisez les clés ssh pour vous connecter aux serveurs et avoir un mot de passe root qui n'est autorisé que via la console (vous devez donc avoir un accès physique/bmc au serveur ) - utilisez ldap partout où c'est possible (ssh, bmc, switches, redmine, ....)

Cependant, il existe peu de situations où nous ne pouvons pas utiliser cette approche (comme le mot de passe root). Ensuite, nous utilisons keepass sur notre stockage partagé, mais nous gardons aussi peu que 10 mots de passe nécessaires.

0
Yarik Dot