我和两个伙伴/朋友一起工作,我负责这里的所有技术事务。我聘请了顾问、程序员,他们每个人都有部分凭证。但事实证明,我是唯一一个拥有所有密码的人(防火墙、交换机等)。
所以,我们昨天开始谈论生活中的重大如果,然后这个事情就出现了。
最简单的方法是创建一个加密文件并时不时地将其交给他们,但我怀疑我是否会记得每次更新每个更改。
你如何处理这个问题?我使用 1password,但目前里面混杂着个人物品,即使死了,我也想保留我的私人物品……嗯……私人的
谢谢你的想法!
答案1
美好的旧巴士因子'。虽然让一个人控制事情有好处,但自然地,如果你死了或者因为其他原因无法联系,你就成了单点故障。
我会首先确定谁有权访问什么,然后创建一个主列表 - 从短期来看,找到一个知道这个谜题的人很有用。
进一步说,确保冗余至关重要 - 一个和没有一样好。至少有一个人可以替代某个不可用的人,这意味着如果发生任何事情,您都不会遇到瓶颈。您不需要复制完全控制,只需找出需要/可以信任该级别访问权限的人即可。
“最简单的方法是创建一个加密文件并时不时地交给他们,但我怀疑我是否记得每次都更新每个更改” - 与其这样做,不如根据需要创建/添加对个人帐户的必要访问权限,并根据需要撤销。保留一个主数据库或 excel 电子表格来跟踪这一点。记忆糟透了- 得到过程来处理这个问题,并确保你的后备人员(你确实有一个)或其他人知道这是如何工作的。如果可能的话,基于角色的访问控制(RBAC)在这里可能会有用 - 根据需要将某人添加到组中,并在他们完成后将其从组中删除。绝不曾经曾经共享凭据。而是为该人的帐户提供他们需要的权限。理想情况下,这将是一个统一的帐户(如 AD 中的某个帐户),但不一定如此 - 您可以将管理员权限(可能使用 sudoers)授予两个人,他们管理彼此的服务器,但使用特定的个人帐户。
将工作和个人事务分开(自然!)。无论如何,您都不应该将办公室/工作电子邮件用于个人事务,同样,将个人电子邮件和其他资源用于工作只会把事情搞乱。即使在家族企业中,我也将自己的电子邮件地址与用于公务的电子邮件地址分开。这样搜索东西就更容易了,因为我知道要查找哪个电子邮件帐户。为您需要的东西建立一个单独的帐户想如果你被公交车撞到,仍然可以到达,而且还有另一种方式可以转发物品。
这也意味着,对于最后的解决方案(完全是双关语!),您可以为资源设置主密码 - 比如单独的 lastpass 密钥、带有密码的纸张或带有密钥文件的加密文件夹 - 您可以选择将其写下来,或将带有解密密钥的 USB 锁在保险箱内。将设备或纸张放在防篡改容器中,并定期检查和更改密码。
答案2
我们使用 lastpass enterprise(但任何密码管理系统都可以使用)并维护一个共享文件夹,其中包含关键的“王国钥匙”。在我不在的时候,负责维持业务运转的人可以访问该文件夹。
我将所有其他与工作相关的密码保存在非共享文件夹中
个人凭证保存在一个独立的个人 lastpass 帐户中,但可以链接到我的工作帐户以方便访问。