我个人有大约 20 个帐户(很多机器上的个人用户 ID)。对于共享的“系统”帐户,每个环境大约有 45 个;开发、测试和生产。我可以访问其中 2 个,所以我的个人总数大约有 115 个帐户。密码必须至少为 15 个字符,并具有一些广泛但标准的复杂性限制,并且必须每 60 天左右更改一次(系统帐户每年更改一次)。不同帐户的密码也不应该相同,但这并不是强制执行的。想想国防部类型的标准。没有办法记住并跟上这一点。就我而言,这根本是不可能的。
这或许可以很好地证明采用集中式账户管理系统(如 LDAP 或 ActiveDirectory)的合理性,但这是完全不同的战斗。
目前的解决方案是 Excel 电子表格。他们使用 Excel 为其设置密码,然后大多数人会复制一份并删除密码。这让我感到恶心。
我用KeePass解决了这个问题,它很好地管理了我的所有帐户。我喜欢自动输入、分组、插件、密码生成等功能。它通过 .Net 框架使用 AES-256 加密,虽然不符合 FIPS 标准,但声誉很好。
唯一的问题是他们不允许我们使用随机下载的软件。因此我们必须证明工作站上的每款软件都是合法的。我被告知他们真的不想让我使用这个,因为存储密码的“敏感性”。叹我的理由必须是“非常非常强烈”。
我的任务是为 KeePass 写一篇论证,我希望得到社区的任何意见。你有什么建议?有没有比 KeePass 更好或更受尊重的东西?有没有安全专家就这个话题发表过有趣的言论?任何事情都会有所帮助。谢谢。
答案1
我一直是 KeePass 的长期用户,如果要我做出解释,我可能会做以下事情:
- 浏览网站的常见问题解答,了解有关安全的所有详细信息。我在那里看到的一切几乎都是不言而喻的。
- 展现该项目的长久性和支持,表明它不会很快被抛弃。
- 展示一些功能,例如默认情况下密码以加密形式显示(不确定您是否在 Excel 电子表格中设置了掩码)。仅此一项就可以防止窥探。
- 您可以双击密码条目将其复制到剪贴板,并让其在 10 秒内自动清除。这样可以尽可能地避免密码“被人看到”。
- 演示如何通过密码、密钥文件甚至 Windows 帐户锁定密码数据库本身,这使您可以将密码数据库存储在中心位置并以这种方式进行管理。
- 密码生成器可帮助确保您获得可以以几乎任何您想要的格式生成的非“用户友好”的密码。
最重要的是,您将获得一个可靠的数据库来存储密码,您可以管理和传输这些密码,而不必担心被黑客入侵。此外,还有许多功能可简化密码管理,这对整体情况大有裨益。
希望这能给你一些想法。我根本没有参与这个程序,我只是喜欢它。我每天在家里和工作中都会使用它。