假设我们database.kdbx
在多个人共享的文件夹中有一个 KeePass 数据库文件。
在 KeePass 中,如何为每个密码设置不同的用户权限?示例:
Me Bob Alice Eve
Company .com registrar account X
Account on website ABC X X
Account on website DEF X X X
Account on website GHI X X X
Bob's webmail X
Alice's webmail X
Eve's webmail X
我们需要多个“主密码”吗?
或者针对这种情况有没有更通用的解决方案?
笔记:
我们希望保留独立的 .exe 解决方案,而不是基于浏览器/云的解决方案
有关的问题(但可能已过时,2015 年)
我想避免处理许多不同的 .kdbx 数据库,如、、、等
admin.kdbx
,因为这不是很灵活admin+bob.kdbx
admin+alice+eve.kdbx
admin+bob+alice.kdbx
答案1
您的问题只有两个解决方案:
- 使用企业密码产品(昂贵)
- 使用多个独立的密码数据库(严格要求)。
对于第一个解决方案,存在多个产品,其中一些是:
- KeePass 专业版对于 Microsoft Teams
- Delinea 企业密码管理
- 宜人的密码服务器
- 密码状态
- 等等。
没有神奇的解决方案。如果企业密码产品的成本太高,你只能自己动手了。
下面是一个 描述 这种解决方案:
我所在机构的策略是每个团队一个文件,每个用户一个文件:
每个团队在网络位置都有一个 DB 文件,通过该团队 AD 组的网络权限进行保护,并且只有团队成员知道 DB 的密码。这提供了两级安全性。整个团队需要的任何密码都放在这里。对我们来说,这是测试/验证服务帐户。(如果可能的话,我们会避免拥有这些类型的共享凭据,并向每个团队成员发放凭据,但有些通常是后端服务的东西不适合按用户进行身份验证,我们需要团队共享的故障排除/测试凭据。)
每个人都有自己的数据库文件,这些文件位于他们自己的个人网络共享中,只有他们自己可以访问。再次是网络共享权限。当然,他们在此处放置了他们颁发的任何不需要共享的帐户的凭据。
Keypass 让这一切变得简单,因为您可以在两个选项卡中打开您自己的数据库文件和团队数据库文件。您还可以将团队密码放在您的个人数据库中,这样您实际上只需要记住您的个人数据库密码即可。
重要的是,团队成员要强调强密码的重要性,并且永远不要在本地复制数据库。我甚至可能考虑要求每个组织策略进行更高的迭代。
您可以随时创建数据库,以便一次性共享密码。如果您有 OneDrive,那么某人可以轻松创建数据库,将其共享给企业中的特定用户,打电话给他们并通过电话向他们提供数据库的密码。然后,一旦他们确认已将条目复制到他们的个人数据库中,您就可以删除共享数据库。告诉他们数据库密码似乎毫无意义,而您可以直接向他们提供您要共享的密码,但通常对于系统/服务密码,密码很长,收件人需要等待一段时间才能将其输入他们的系统,以便他们可以验证凭证,这可能会导致后续呼叫/双重检查。因此,通过电话向他们提供一个相对简单但仍然强大的数据库密码要容易得多,让他们一边打电话一边打开数据库文件以验证他们是否能够获取它,然后他们可以复制服务/凭证密码而不必担心出错。