保存并维护密码列表

Question 1

我总是使用纯文本文件来执行此操作，并在源代码控制下对所有相关管理员的 GPG 密钥进行加密。

这有几个优点。首先，它让你让所有管理员都安装 GPG、使用它，并生成和交换密钥对。这有一个很多在安全方面带来连锁效益（例如，管理员可以验证彼此的请求，这使得社会工程攻击很多更难）。

其次，安全性不在于某个集中式应用程序，而在于个人的密钥管理。您可以随意入侵存储加密文件的服务器，您得到的只是密文。您可以在任何适合您的设备上保留此文件的本地副本，而不会危及任何人的安全，也无需安装除 GPG 之外的任何应用程序（任何从事安全工作的人都应该有 GPG，见上文）。

第三，由于源代码控制，当有人从地下室挖出一台机器并坚持要恢复时，你总是可以回过头来找出三年前全公司的桌面根密码是什么现在。您只使用当前任职管理员的密钥加密当前版本的文档，但您始终可以添加托管密钥以备不时之需（密码和私钥存储在安全、防篡改的介质中，并且只能使用一次 - 如果需要使用当前密钥，则生成一个新的托管密钥）。

Answer

我总是使用纯文本文件来执行此操作，并在源代码控制下对所有相关管理员的 GPG 密钥进行加密。

这有几个优点。首先，它让你让所有管理员都安装 GPG、使用它，并生成和交换密钥对。这有一个很多在安全方面带来连锁效益（例如，管理员可以验证彼此的请求，这使得社会工程攻击很多更难）。

其次，安全性不在于某个集中式应用程序，而在于个人的密钥管理。您可以随意入侵存储加密文件的服务器，您得到的只是密文。您可以在任何适合您的设备上保留此文件的本地副本，而不会危及任何人的安全，也无需安装除 GPG 之外的任何应用程序（任何从事安全工作的人都应该有 GPG，见上文）。

第三，由于源代码控制，当有人从地下室挖出一台机器并坚持要恢复时，你总是可以回过头来找出三年前全公司的桌面根密码是什么现在。您只使用当前任职管理员的密钥加密当前版本的文档，但您始终可以添加托管密钥以备不时之需（密码和私钥存储在安全、防篡改的介质中，并且只能使用一次 - 如果需要使用当前密钥，则生成一个新的托管密钥）。

Question 2

KeePass是一个我发现非常有用的密码管理器，它是跨平台的，具有生成密码和维护到期日期等功能。

但是它是一个单用户工具，所以我不确定它是否适合您的需求，除非您禁止用户更改密码，而是集中进行更改。这是否可行/可接受取决于您的安全策略。

最好的办法可能是（按照政策等）让每个用户维护自己的密码，并使用管理员权限重置忘记密码的用户的密码。

Answer

KeePass是一个我发现非常有用的密码管理器，它是跨平台的，具有生成密码和维护到期日期等功能。

但是它是一个单用户工具，所以我不确定它是否适合您的需求，除非您禁止用户更改密码，而是集中进行更改。这是否可行/可接受取决于您的安全策略。

最好的办法可能是（按照政策等）让每个用户维护自己的密码，并使用管理员权限重置忘记密码的用户的密码。

Question 3

如上所述KeePass+ 我使用 Dropbox 在多个设备（PC、笔记本电脑、Android 智能手机，无处不在）上同步 kdbx。

您甚至可以在那里设置密码到期日期来提醒您。

这几乎是目前市场上最好的工具。

至于密码策略，我认为你应该自己找到最适合你公司的策略，只需使用常识或谷歌来寻找最佳实践，例如。麻省理工学院政策。

Answer