您的公司如何确保所有需要的员工都可以访问他们的客户端应用程序、公司系统和第三方应用程序的(共享)凭证?
例如:
- 已部署的 Web 应用程序的管理凭据
- 第三方网站/应用程序的凭证,例如 SSL 提供商
- 内部应用凭证
答案1
在我工作过的小公司里,我们通常会创建一个包含与程序共享账户的加密文件密码保险箱。密码保险箱将为您带来一些额外的好处,例如自动清除用户剪贴板中的密码并在一段时间后重新锁定。
然而,在必须遵守各种安全标准(PCI、GLBA、HIPAA 等)的大型组织中,共享凭证是审计员会相当不满的事情之一。您最好将应用程序设置为针对以下对象进行身份验证:LDAP或者半径。拥有 1 个用于管理访问的共享登录名可能会导致内部威胁在退出之前做出一些愚蠢的事情或进行其他恶意使用。
Ivan 的评论提到KeePass我知道有些组织使用并喜欢它。我个人使用它的时间不超过几分钟,但喜欢 Password Safe 功能但不喜欢其界面的人往往会喜欢 KeePass。他还建议最后通行证它增加了诸如自动化网络表单之类的功能,我个人还没有尝试过,但它看起来像是我可以在家尝试并可能在工作中尝试的东西。
答案2
对于所有规模的公司,我都曾加入过一个团队。我们努力让每个人都登录所有账户。然后我们使用一些单点登录技术来管理所有登录信息。这些系统可能很昂贵,而且需要数小时来维护。
最近我发现了一个使用强加密的程序,我们将所有密码都强行输入到这个程序中,以至于如果我没有 PIN,我就无法完成任何事情。有些人会说这很危险,但如果需要分离,那么发现的痛苦就会减轻。
http://www.mirekw.com/winfreeware/pins.html..这个该工具非常棒,可以轻松满足您的需求。
答案3
我们不允许我们的员工共享账户。但是从管理角度来看,有时不可能拥有多个供应商账户 - 就像您所说的 SSL 证书等,追踪与之关联的账户更像是一场噩梦。对于这些情况,我们只需设置一组“系统”密码,这些密码不会写在任何地方,并且有我们在与其他系统人员沟通时使用的代码或触发器。代码是通用的,不能用来猜测密码,但我们都知道与之关联的密码。
例如,使用压缩短语并添加数字和非字母数字字符来创建密码,例如:
“百叶窗是个好东西”将变成 WbRg!th@,而暗号将是“窗户密码”