Meilleures pratiques et solutions pour le partage de mots de passe [fermé]

62

Nous avons divers mots de passe qui doivent être connus de plus d'une personne de notre entreprise. Par exemple, le mot de passe administrateur de nos routeurs Internet, le mot de passe de notre hôte Web, ainsi que quelques mots de passe "non informatiques", tels que des codes de sécurité.

Actuellement, nous utilisons un système ad hoc de «mots de passe standard» pour les systèmes de faible valeur et le partage verbal de mots de passe pour les systèmes plus importants / potentiellement dommageables. Je pense que la plupart des gens conviendront que ce n'est pas un bon système.

Ce que nous voudrions, c'est une solution logicielle pour stocker les mots de passe "partagés", avec un accès pour chaque utilisateur limité aux personnes qui en ont réellement besoin. Idéalement, cela demanderait ou appliquerait des modifications périodiques du mot de passe. Il devrait également être en mesure d'indiquer qui a accès à un mot de passe particulier ( par exemple , qui connaît le mot de passe root du serveur XYZ?)

Pouvez-vous suggérer des solutions logicielles pour stocker et partager les mots de passe? Y a-t-il quelque chose de particulier à se méfier?

Quelle est la pratique courante dans les petites et moyennes entreprises à cet égard?

Stewart
la source
Découvrez certaines des réponses de ma question similaire, bien que mal rédigée: serverfault.com/questions/3696/…
boflynn,
"Pouvez-vous suggérer des solutions logicielles pour stocker et partager les mots de passe?" appartient à la Software Recommendations Stack Exchange .
Cristian Ciupitu

Réponses:

26

Je fais face à ce problème chaque fois que je vais dans une nouvelle startup. La première chose que je fais est de créer quelques "Coffres-Mot de Passe" avec un programme comme celui-ci (ou l’un de ses dérivés):

http://passwordsafe.sourceforge.net/

Définissez des combinaisons solides et jetez-les sur un partage réseau. Segment par domaine de responsabilité: infrastructure centrale, serveurs de production, dev / QA, etc.

Une fois que l’élan est suffisamment dynamique, et en supposant que j’ai les dépendances propres à l’environnement Windows, j’aime déplacer tout le monde vers ceci:

http://www.clickstudios.com.au/passwordstate.html

Il possède des fonctionnalités pour les identifiants partagés et personnels.

Adam D'Amico
la source
Existe-t-il un programme Linux ou Mac capable de lire les fichiers passwordsafe? Ce serait bien d'avoir une bonne solution pour un environnement où les utilisateurs utilisent différents systèmes d'exploitation. Le meilleur que j'ai trouvé jusqu'à présent est celui des fichiers texte cryptés au format gpg.
Mark
J'ai vérifié Passwordstate, mais il semble assez limité par rapport à d'autres solutions payantes. Premièrement, les recherches de mot de passe ne sont pas vérifiables. Cependant, cela devrait être disponible dans la prochaine version.
Sergei
On dirait que Passwordstate a maintenant des fonctionnalités d'audit raisonnables. clickstudios.com.au/about/compliance-reporting.html
Nic
13

Il ne faut pas oublier non plus la nécessité de pouvoir révoquer les mots de passe si un employé quitte / est licencié. Plusieurs médias populaires ont signalé des cas de licenciement et de retour à des employés d'employés qui utilisaient des mots de passe qui étaient encore actifs après leur départ.

Ceci est typiquement 2 parties:

  1. Connaître tous les mots de passe qui doivent être changés (sinon vous choisissez par défaut tous ce qui est fastidieux)
  2. Les modifier manuellement ou automatiser le processus avec un outil ou un script.

Un autre facteur important est de veiller à ce que la stratégie de mot de passe soit suivie lorsque les modifications sont apportées - par exemple, comment savoir que le même mot de passe n'a pas été utilisé sur plusieurs comptes ou qu'un mot de passe faible n'a pas été utilisé?

Seconde
la source
14
Juste à titre d'observation, je voterais cela comme un commentaire, mais pas comme une réponse, car cela ne répondait pas à la question. Encore un bon point.
Kara Marfia
11

Je travaille dans un petit magasin informatique et nous utilisons Secret Server depuis un an pour gérer nos mots de passe pour nos périphériques réseau et les besoins de nos clients.

Ils offrent une "édition d'installation" ou une édition en ligne / hébergée. Nous utilisons l'édition hébergée pour moins de 100 $ / an (5 utilisateurs) et pouvons accéder en toute sécurité à ces informations de mot de passe via un navigateur Web. Si vous êtes vraiment préoccupé par la sécurité, installez-le sur votre propre serveur et accédez-y uniquement via un réseau local ou un réseau privé virtuel.

De plus, mon gestionnaire de mots de passe Web "personnel" préféré propose désormais une "édition professionnelle" - PassPack .

Je ne suis pas sûr de savoir comment cela fonctionne dans ce scénario par rapport à Secret Server, mais l'une ou l'autre solution devrait être beaucoup plus polyvalente et sécurisée que des bouts de papier, des applications de bureau ou ( halètement ) se souvenant de choses dans votre tête. En ce qui concerne le "point de défaillance unique", l'un ou l'autre de ces produits permet une exportation facile au format CSV.

Matthew Flook
la source
Secret Server a l'air bien, mais ce n'est pas donné!
Toto le
4

J'utilise LastPass depuis un moment maintenant et j'adore ça. J'ai passé un peu de temps à chercher cette question l'année dernière et j'ai bien aimé comment LastPass l'avait fait.

  • Toutes les informations sont stockées sur leur site (et une copie locale) dans un paquet crypté que vous seul avez le mot de passe pour décrypter
  • Tous les mots de passe sont partageables et révocables, vous pouvez même les partager sans donner accès au mot de passe lui-même (pour les connexions Web)
  • Plugins pour les principaux navigateurs
  • Beaucoup d'autres fonctionnalités
Daniel Beardsley
la source
3

J'appuie la recommandation d'Adam de PasswordSafe, avec les données sur un dossier réseau. J'ai deux considérations dans ce domaine. L'une consiste à avoir une version unique, de sorte que tous ceux qui ont besoin des données obtiennent les données actuelles.

1- PasswordSafe utilise un format normalisé pour le fichier. Il existe donc d'autres solutions pour le lire, notamment KeePass.

2- Placez le fichier de mots de passe sur un partage sécurisé et créez un script nocturne qui le copie dans plusieurs emplacements du réseau. Peut-être copiez-le sur un partage sur un autre serveur (hors site si possible) et sur une clé USB laissée sur le serveur. Vous voulez que le fichier ait au moins un endroit où il n'est pas protégé par un mot de passe qu'il stocke!

3- Stockez le programme d'installation (ou la version exécutable du programme) aux mêmes emplacements que le fichier de clé, afin de pouvoir y accéder rapidement si nécessaire.

4- Demandez aux gens d'ouvrir le fichier en lecture seule, à moins qu'ils ne soient obligés de faire un changement.

5- Si nécessaire, vous pouvez créer plusieurs fichiers de mots de passe, un pour les informations d'identification nécessaires à tous les membres de l'équipe et un pour les informations d'identification des éléments les plus sensibles.

Je ne recommanderais pas de passer à une solution Web. Une solution hébergée en interne pourrait convenir, mais cela semble poser beaucoup de problèmes. Je suis également préoccupé par le fait qu'il s'agisse d'un point de défaillance unique.

tomjedrz
la source
2

Je partage la responsabilité d'un grand nombre de systèmes avec les employés de l'un de mes clients. Nous avons convenu d'utiliser un schéma de mot de passe pour les comptes les plus utilisés. Les autres mots de passe sont stockés dans une liste sur papier de paires (numéro, mot de passe) gérées par le responsable informatique du client. Les noms d'utilisateur et les hôtes sont stockés dans une base de données facilement accessible. Les mots de passe sont distribués selon le besoin de savoir.

David Schmitt
la source
2

Pratique courante dans les petites et moyennes entreprises:

Trois endroits dans lesquels j'ai travaillé ont utilisé des documents distincts pour détailler les mots de passe pour différents systèmes. Un document pour les routeurs et les pare-feu, un autre pour l’accès aux serveurs et un autre pour les développeurs (par exemple, les informations de connexion pour les connexions à la base de données). L'accès aux applications a tendance à ne pas être documenté (je suppose parce que pour la plupart vous vous connectez en tant que vous avec des droits d'administrateur).

L'administrateur réseau ne voit que le document de mot de passe des routeurs, et les personnes ayant accès à ce document sont répertoriées dans ce fichier. Leurs conditions d'emploi indiquent que les noms d'utilisateur et les mots de passe auxquels ils ont accès sont privés et ne doivent pas être partagés avec d'autres. Similaire pour l'administrateur système et les développeurs.

La réalité est parfois le mot de passe est partagé, mais vous pouvez identifier qui a besoin de savoir (et pourquoi) et changer ce qui doit être changé. Cela a bien fonctionné dans une entreprise (informatique) de 50 employés.

Dan
la source
2

Pour les mots de passe rarement utilisés, tels que les comptes d’administrateur local sur les serveurs, les mots de passe du routeur et du pare-feu, etc. lors de mon dernier travail, une boutique d’une cinquantaine de personnes environ, seul le sysadmin connaissait réellement les mots de passe. Ils ont été écrits sur une feuille de papier dans une enveloppe. Il y avait trois enveloppes qui ont été scellées et signées par le patron, le administrateur système et le programmeur en chef. Chaque personne avait une copie des documents. Si les mots de passe étaient utilisés, nous les avons modifiés et nous avons créé de nouvelles enveloppes.

Dans mon travail actuel, dans une organisation beaucoup plus grande, nous avons 15 administrateurs système et quelques milliers d'utilisateurs, nous disposons d'une méthode de calcul des mots de passe basée sur un nom de serveur. Cela inclut un préfixe connu et une méthode de hachage assez simple à faire sur papier. Lorsque les mots de passe doivent être changés parce que quelqu'un part ou non, nous changeons le préfixe ou le hachage ou les deux. Ainsi, même si je ne connais pas le mot de passe de chaque machine ou périphérique autour de moi, je pourrais le calculer si j'en avais besoin pour une raison quelconque.

Laura Thomas
la source
bonne idée, pouvez-vous s'il vous plaît fournir un exemple d'une telle méthode de hachage calculable aussi facile?
Aleksandar Ivanisevic
Vous pouvez utiliser ROT aka cesar cipher, mais en utilisant un nombre choisi au hasard entre 1 et 26 pour le décalage. Par exemple, si votre serveur s'appelait fileserver2 et que le préfixe était Le84D et que le décalage était de 18, le mot de passe serait Le84Dxadwkwjnwj20
Laura Thomas
1

J'ai eu le même problème avant. J'ai fini par construire un système pour gérer cela moi-même. Il stockait le nom d'utilisateur et le mot de passe sous une forme hautement cryptée dans une base de données avec une interface Web, ce qui vous permettrait de saisir les informations du compte et de définir la sécurité correspondante afin que seules les personnes ou les groupes appropriés puissent accéder aux données.

Il n’a pas été demandé au moment de changer les mots de passe car les services sur des dizaines de serveurs utilisaient le même identifiant et les modifications des mots de passe devaient être configurées bien à l’avance.

Je l'ai construit avec une fonctionnalité d'audit complète de sorte que chaque fois qu'un employé consultait une connexion, celle-ci était journalisée afin que nous puissions vider le journal d'audit dans Excel pour les auditeurs SOX.

mrdenny
la source
1

Utilisez GPG avec l'option Symmetric pour chiffrer un fichier texte contenant tous les mots de passe. Ensuite, tout ce que vous avez à faire est de fournir la phrase de passe unique aux autres administrateurs. Lorsqu'un administrateur quitte l'entreprise, il suffit de rechiffrer le fichier texte avec une nouvelle phrase secrète.

Dereck Martin
la source
... et changez tous les mots de passe contenus à l'intérieur, non?
Ingmar Hupp
1

Centrify a fonctionné pour moi.

Bob
la source
1

Wow, bon fil! Personne n'a mentionné ma solution préférée (sauf en passant), alors je vais faire un cri au KeePass. Bien extensible, avec authentification par mot de passe, clé ou AD. Fait le travail bien pour nous.

RainyRat
la source
1
KeePassX pour une version multiplateforme ( keepassx.org )
Ingmar Hupp
1

Pour accéder aux serveurs:

Fournissez l'accès à un serveur et utilisez-le comme une boîte de connexion et gérez les comptes sur la boîte de transfert. Toute personne supposée être approuvée par le jumpbox l'est par la ressource distante. De cette façon, tout le monde a son propre mot de passe et le mot de passe sur le serveur du compte particulier peut être gardé secret.

Pour accéder à d'autres ressources:

Limitez l'accès au personnel essentiel. Assurez-vous de gérer une liste d'utilisateurs de confiance. Changez le mot de passe tous les 90 jours et mettez à jour la liste des utilisateurs de confiance. Prévenez les personnes en attente du changement en cours 15, 7 et 1 jour à l'avance. Distribuez le mot de passe uniquement aux responsables et laissez-les déterminer qui a besoin d'accéder. Utilisez des utilitaires pour vous connecter aux accès et informez régulièrement les utilisateurs qu'ils sont des systèmes étroitement surveillés. Toute activité amusante sur les serveurs doit constituer une infraction pouvant être résiliée.

ojblass
la source
0

Je sais que ce n'est pas exactement la réponse que vous souhaitez, mais sur mon lieu de travail, c'est exactement la même chose. Les membres du personnel de confiance se voient attribuer les mots de passe appropriés. Les mots de passe ne sont pas partagés entre les appareils et ils ne sont pas écrits. Le système a tendance à bien fonctionner, car l’administration des appareils ne relève généralement que de quelques membres du personnel. Nous avons également une très bonne rétention du personnel afin que la confiance puisse être construite sur une longue période.

PixelSmack
la source
0

Vous voudrez peut-être utiliser une sorte de logiciel de coffre de mots de passe - de cette façon, vous pourrez donner aux utilisateurs autorisés leur propre accès et veiller à ce que les informations ne fuient pas par des personnes laissant des notes. Un bon lecteur n'affiche même pas le mot de passe, il le dépose simplement dans le presse-papiers pour le copier / coller.

utilisateur2278
la source
0

Nous avons un système comme le président et la bombe - deux personnes connaissent chacune la moitié du mot de passe. De cette manière, vous ne rencontrerez jamais un seul administrateur non autorisé qui s’efface et apporte lui-même des modifications non approuvées.

Maximus Minimus
la source
Intéressant ... mais pas très pratique pour le code PIN de la carte de crédit de la société ;-)
Stewart
C'est assez intéressant. Il y a de nombreux cas où mon collègue (avec l'autre moitié du pw) et moi ne sommes pas ensemble ... mais j'aime bien cette idée.
cop1152
1
Vous avez maintenant transformé un point d’échec unique en un double point d’échec. Cela double les chances que le mot de passe soit perdu. De plus, c'est complètement irréalisable - je ne pourrais jamais rien faire si je ne connaissais que la moitié de chaque mot de passe administrateur.
Aaron Brown
J'espère que vous ne voulez pas dire que vous utilisez des comptes d'administration génériques ... pas de piste d'audit.
Maximus Minimus
0

Je travaille dans une société d’informatique, nous avons de nombreux clients, normalement nous résolvons le problème à distance. Nous utilisons ssh pour nous connecter afin de résoudre les problèmes. Nous avons ajouté une machine ssh-key à toutes les machines de nos clients, de sorte qu’il sera utile aux autres d’identifier et de résoudre les problèmes, si je ne suis pas là.Mais la machine avec laquelle nous nous connectons aux clients macine sécurisé. Si vous voulez avoir de bons mots de passe, utilisez des chiffres et des caractères supplémentaires.

Pour ajouter des clés ssh, procédez comme suit:

1.ssh-keygen -t dsa (Pour obtenir les clés ssh sur .ssh / id_dsa.pub

  1. scp .ssh / id_dsa.pub root @ remote: ~ / tmp

  2. Sur machine distante

cat >> /tmp/id_dsa.pub .ssh / registered_keys2

Essayez de vous connecter pour supprimer macine, à partir d'une autre console ... :) happy sshhhhhh

chenille
la source
-1

Refuser d'utiliser des systèmes nécessitant un mot de passe. Tout serveur doit s’authentifier avec des clés SSH, tout site Web avec OpenID. Exécutez un fournisseur OpenID à l'intérieur du pare-feu.

Évidemment, ce scénario implique que tous vos systèmes sont accessibles via SSH ou HTTP, mais cela fonctionne pour nous.

Jim Puls
la source
Je ne vois pas comment cela fonctionnerait pour les routeurs, les codes de sécurité, les NIP de cartes de crédit, etc.
Stewart
"Refuser d'utiliser des systèmes qui nécessitent un mot de passe" - il y a des choses comme PTB, donc "refuser" ne fonctionne pas toujours ...
Sergei