我们公司有多种密码需要多人知道。例如,互联网路由器的管理员密码、网站主机的密码,以及一些“非 IT”密码,如安全密码。
目前,我们使用特别指定低价值系统采用“标准密码”系统,而更重要/潜在破坏性更强的系统则采用口头共享密码系统。我想大多数人都会同意这不是一个好的系统。
我们希望有一种软件解决方案来存储“共享”密码,每个密码的访问权限仅限于真正需要的人。理想情况下,这将提示或强制定期更改密码。它还应该能够指示谁有权访问特定密码(例如,谁知道服务器 XYZ 的 root 密码?)
您能推荐一些用于存储的软件解决方案吗?和分享密码? 有什么需要特别警惕的吗?
中小型公司对此的常见做法是什么?
答案1
每次我去一家新创业公司时,我都会遇到这个问题。我做的第一件事就是用类似这个程序(或其衍生程序之一)制作几个“密码保险箱”:
http://passwordsafe.sourceforge.net/
设置强组合并将它们放在网络共享上。按责任范围细分...中央基础设施、生产服务器、开发/QA 等。
一旦有了足够的动力,并且假设我有适当的 Windows 环境依赖项,我喜欢将每个人都转移到这个:
http://www.clickstudios.com.au/passwordstate.html
它具有共享和个人凭证的功能。
答案2
不要忘记的是需要能够撤销如果员工离职或被解雇,则密码仍然有效。大众媒体报道过几起员工被解雇后使用离职后仍然有效的密码“重返”公司的案例。
这通常分为两部分:
- 知道所有需要更改的密码(否则您将默认所有密码,这很繁琐)
- 手动更改它们或使用工具或脚本自动执行该过程。
另一个重要因素是确保在进行更改时遵守密码策略 - 例如,您如何知道没有在多个帐户上使用相同的密码或没有使用弱密码?
答案3
我在一家小型 IT 公司工作,我们一直在使用秘密服务器在过去的一年里,我们一直在管理网络设备和客户需求的密码。
他们提供“安装版”或在线/托管版。我们使用托管版,每年费用不到 100 美元(5 个用户),并且无论身在何处,都可以通过 Web 浏览器安全地访问此密码信息。如果您真的担心安全性,请将其安装在您自己的服务器上,并且仅通过 LAN 或 VPN 访问它。
此外,我最喜欢的“个人”网页密码管理器现在推出了“商业版”——通行证包。
我不确定它在这种情况下的表现与 Secret Server 相比如何,但这两种解决方案都应该比纸片、桌面应用程序或(喘气) 记住事情。对于“单点故障”问题,这两种产品都可以轻松导出为 CSV。
答案4
我赞同 Adam 的建议,使用 PasswordSafe,将数据放在网络文件夹中。在这方面我有两个考虑。一个是使用单一版本,这样所有需要数据的人都可以获得当前数据。
1- PasswordSafe 使用标准化文件格式,因此其他解决方案可以读取它,包括 KeePass。
2- 将密码文件放在安全共享上,并编写一个夜间脚本,将其复制到网络上的几个位置。也许将其复制到另一台服务器的共享上(如果可能的话,最好是异地)以及留在服务器上的 USB 驱动器上。您希望文件至少放在一个不受其存储密码保护的地方!
3-将安装程序(或程序的可执行版本)存储在与密钥文件相同的位置,以便您在需要时可以快速获取它。
4-让人们以只读方式打开文件,除非他们需要进行更改。
5-如有必要,您可以创建多个密码文件,一个用于团队中每个人都需要的凭据,另一个用于真正敏感事项的凭据。
我会不是建议转向基于 Web 的解决方案。内部托管的解决方案可能不错,但似乎很麻烦。我还担心它会成为单点故障。