这有点相关密码最佳实践但更加具体。
您是否对组织中的所有服务器使用相同的 root 密码?对于同一类设备?
答案1
我想说“是的,无处不在”,但在某些情况下仍然是“不”。我的公司正在使用 密码保险箱为我们的客户管理密码,为每个客户创建“保险箱”。许多客户都为 root、本地管理员、设备等设置了唯一的随机密码。不幸的是,有些客户(无论是由于之前的供应商所做的工作,还是由于我们的懒惰)可能在多台设备或多台服务器计算机上使用相同的密码。
对于我的个人密码,我有兴趣转向类似的实用程序密码生成器,它采用“主密码”和其他一些事实(网站名称、用户名等),并通过安全哈希函数创建随机密码。只要您知道“主密码”和“其他事实”,您就可以在每次需要时使用该软件重新生成密码(即密码永远不会存储在任何地方,无论是加密、纯文本还是其他方式)。
我还没有找到一个可以满足我所有需求的企业密码“保管”工具:
- 通过浏览器进行基于 SSL 的访问作为 UI
- LDAP 身份验证,根据 LDAP 组成员身份访问数据库中的密码的权限。
- 维护每个用户访问的密码的审计跟踪(这样当有人离开公司时我知道该更改什么)。
- 可基于用户配置密码过期通知(例如“自从我们解雇他以来,‘bob’使用过的所有密码都过期”),基于上次设置密码的日期,或基于访问过密码的唯一用户数量(“整个帮助台、IT 部门和清洁人员都访问过此密码 - 使其过期。”)
- 每个密码的元数据,包括到期时通过电子邮件通知的一方、创建日期、上次更改日期、注释。
- 可选插件系统允许密码系统本身连接到系统并自动更新过期密码。
- 理想情况下,在基于 Windows 或 Linux 的网络服务器上运行,可能使用 sqlite 作为后端。
我愿意为这样的项目投入金钱或开发时间,但我从未发现任何能与之媲美的项目,也不愿意花时间去实现它。
答案2
我使用 SSH 密钥,对所有服务器使用同一个密钥,并在密钥文件上保留一个好的密码。这样可以省去很多麻烦。
对于无法使用这种方法的设备,我会使用一个核心难以猜测的密码,然后使用设备的 DNS 名称、IP 或其他常见特征(例如操作系统或品牌),使密码对设备而言独一无二。这种方法对于类似设备组尤其有效。只需将模式/助记符与核心保密,您就会拥有一个难以记住的、独一无二的密码。
答案3
每台机器的密码都不一样,但我们都把它们保存在 pwsafe 中。查找起来很麻烦,但可以防止有人入侵。
答案4
我所在组织使用的一个:
桌面/本地 PC 管理员密码都相同(但由于我们对所有机器都进行了重影,所以这是唯一的方法,如果有人找到了该密码,我们仍然可以更改初始重影映像,并更新所有机器以接收新映像,这样就没问题了。
每个服务器都有不同的密码。不过我们不会处理太多的服务器,如果我没记错的话,我可以访问的服务器大约有 6 个(但我肯定还有更多),而且他们没有设置过于复杂的密码,而是选择了简单、易记的密码,在密码中添加了合理的 |eet5peak,并且密码非常非常长(但同样容易记住):)
我个人认为,对于台式电脑,您希望保持相同的 root / admin 密码,以确保使用本地管理员帐户轻松管理。
对于服务器,最好是不同的,以确保如果出现漏洞,它只会被限制在该服务器上,而不会进一步传播。此外,密码复杂性将根据服务器的重要性而变化(即,保存用户/密码的服务器将具有最高复杂性,保存日志的服务器将具有较低的复杂性,等等)。
我的 5c