it-swarm-ko.tech

암호 공유를위한 모범 사례 및 솔루션

우리는 회사의 여러 사람에게 알려야 할 다양한 암호를 가지고 있습니다. 예를 들어, 인터넷 라우터에 대한 관리자 암호, 웹 호스트에 대한 암호 및 안전 코드와 같은 "IT가 아닌"암호도 있습니다.

현재, 우리는 값이 낮은 시스템의 경우 "표준 암호"의 ad hoc 시스템을 사용하고보다 중요하거나 잠재적으로 피해를주는 시스템의 경우 암호를 구두로 공유합니다. 나는 대부분의 사람들이 이것이 좋은 시스템이 아니라고 동의 할 것이라고 생각한다.

우리가 원하는 것은 "공유 된"암호를 저장하기위한 소프트웨어 솔루션이며, 실제로 필요한 사람들에게만 제한되어 있습니다. 이상적으로는 주기적으로 암호를 변경하라는 메시지가 표시되거나 적용됩니다. 또한 누가 특정 암호에 액세스 할 수 있는지 ( 예 : , 누가 서버 XYZ의 루트 암호를 알고 있습니까?)

저장 및 공유 소프트웨어 솔루션을 제안 할 수 있습니까?주의해야 할 것이 있습니까?

중소기업의 일반적인 관행은 무엇입니까?

62
Stewart

새로운 스타트 업에 갈 때마다이 문제에 직면합니다. 내가하는 첫 번째 일은 다음과 같은 프로그램 (또는 그 파생어 중 하나)을 사용하여 두 개의 "비밀번호 금고"를 만드는 것입니다.

http://passwordsafe.sourceforge.net/

강력한 조합을 설정하고 네트워크 공유에 버립니다. 중앙 영역, 프로덕션 서버, 개발/QA 등 책임 영역별로 분류.

충분한 추진력이 있고 적절한 Windows 환경 종속성이 있다고 가정하면 모든 사람을 다음과 같이 옮기고 싶습니다.

http://www.clickstudios.com.au/passwordstate.html

공유 및 개인 자격 증명을위한 기능이 있습니다.

26
Adam D'Amico

직원이 퇴사/해고 된 경우 비밀번호를 취소 할 수 있어야합니다. 직원들이 퇴사 한 후에도 여전히 유효한 암호를 사용하여 회사에서 해고되고 '복귀'하는 대중 매체에서 몇 가지 사례가 언급되었습니다.

이것은 일반적으로 두 부분입니다.

  1. 변경해야 할 모든 비밀번호를 알고 있어야합니다 (그렇지 않으면 지루한 모든 비밀번호를 기본값으로 사용).
  2. 도구 또는 스크립트를 사용하여 수동으로 변경하거나 프로세스를 자동화하십시오.

또 다른 중요한 요소는 변경시 비밀번호 정책을 준수하는 것입니다. 여러 계정에서 동일한 비밀번호가 사용되지 않았거나 취약한 비밀번호가 사용되지 않았다는 것을 어떻게 알 수 있습니까?

13
Second

소규모 IT 상점에서 일하고 있으며 작년에 네트워크 장치 및 클라이언트 요구에 대한 암호를 관리하기 위해 Secret Server 를 사용했습니다.

"설치 판"또는 온라인/호스트 판을 제공합니다. 연간 100 달러 (5 명의 사용자) 미만의 호스팅 버전을 사용하며 어디에서나 웹 브라우저를 통해이 비밀번호 정보에 안전하게 액세스 할 수 있습니다. 보안이 정말로 걱정된다면 자신의 서버에 설치하고 LAN 또는 VPN을 통해서만 액세스하십시오.

또한 내가 좋아하는 "개인"웹 기반 암호 관리자는 이제 "business edition"- PassPack 을 제공합니다.

이 시나리오에서 Secret Server와 비교하여 어떻게 수행되는지 잘 모르겠지만 솔루션은 종이, 데스크톱 앱 또는 ( gasp ) 당신의 머리 속에있는 것들을 기억합니다. "단일 실패 지점"문제의 경우 이러한 제품 중 하나를 사용하여 CSV로 쉽게 내보낼 수 있습니다.

11
Matthew Flook

나는 잠시 동안 LastPass 을 사용하고 그것을 좋아했습니다. 작년에이 질문을 조사하는 데 약간의 시간을 보냈으며 LastPass가 어떻게 수행했는지 좋아했습니다.

  • 모든 정보는 자신의 사이트 (및 로컬 사본)에 암호를 해독 할 암호 만있는 암호화 된 번들로 저장됩니다.
  • 모든 비밀번호는 공유 가능하고 취소 가능하며, 비밀번호 자체에 액세스하지 않고도 공유 할 수 있습니다 (웹 로그인 용).
  • 주요 브라우저를위한 플러그인
  • 다른 많은 기능들
4
Daniel Beardsley

네트워크 폴더의 데이터와 함께 암호 안전에 대한 Adam의 권장 사항은 두 번째입니다. 이 분야에서 두 가지 고려 사항이 있습니다. 하나는 단일 버전이므로 데이터가 필요한 모든 사람이 현재 데이터를 가져옵니다.

1- PasswordSafe는 파일에 대해 표준화 된 형식을 사용하므로 KeePass를 포함하여 파일을 읽을 수있는 다른 솔루션이 있습니다.

2- 암호 파일을 안전한 공유에 놓고 야간 스크립트를 통해 네트워크의 두 위치로 복사합니다. 다른 서버의 공유 (가능하면 오프 사이트)와 서버에 남아있는 USB 드라이브에 복사하십시오. 파일이 저장되어있는 비밀번호로 보호되지 않는 최소한 한 곳을 원합니다!

3- 키 파일과 동일한 지점에 설치 프로그램 (또는 프로그램의 실행 버전)을 저장하여 필요한 경우 신속하게 설치할 수 있습니다.

4- 사람들이 변경하지 않는 한 파일을 읽기 전용으로 열도록합니다.

5 필요한 경우 팀의 모든 사람이 필요로하는 자격 증명과 매우 중요한 것의 자격 증명을위한 암호 파일을 여러 개 만들 수 있습니다.

not 웹 기반 솔루션으로 이동하는 것이 좋습니다. 내부적으로 호스팅 된 솔루션은 문제가 없지만 많은 문제가있는 것 같습니다. 또한 그것이 단일 실패 지점 인 것에 대해 우려하고 있습니다.

3
tomjedrz

내 고객 중 한 명의 직원과 상당히 많은 시스템에 대한 책임을 공유합니다. 가장 많이 사용되는 계정에 비밀번호 체계를 사용하기로 동의했습니다. 다른 암호는 클라이언트의 IT 책임자가 유지 관리하는 종이 기반의 (숫자, 암호) 쌍으로 저장됩니다. 사용자 이름과 호스트는 쉽게 액세스 할 수있는 데이터베이스에 저장됩니다. 비밀번호는 알 필요가있을 때 유인됩니다.

2
David Schmitt

중소 기업의 일반적인 관행 :

내가 일한 세 곳은 별도의 문서를 사용하여 다른 시스템의 암호를 자세히 설명했습니다. 라우터 및 방화벽에 대한 문서 하나, 서버에 액세스하기위한 문서 및 개발자를위한 문서 (예 : 데이터베이스 연결에 대한 로그인 정보) 응용 프로그램에 대한 액세스는 문서화되지 않는 경향이 있습니다 (대부분의 경우 관리자 권한으로 자신으로 로그인하기 때문에 가정합니다).

네트워크 관리자는 라우터 암호 문서 만 볼 수 있으며이 문서에 액세스 할 수있는 개인이이 파일에 나열됩니다. 그들의 고용 조건은 그들이 접근 할 수있는 로그인과 암호는 비공개이며 다른 사람들과 공유해서는 안된다는 것입니다. 시스템 관리자 및 개발자와 유사합니다.

현실은 때때로 암호를 공유하지만, 누가 알아야 할 이유 (및 이유)를 식별하고 변경해야 할 사항을 변경할 수 있습니다. 직원이 50 명인 (소프트웨어) 회사에서 잘 작동했습니다.

2
Dan

Passpack 에 대한 Lifehacker 오늘의 게시물이 있습니다.

2
Flávio Amieiro

마지막 작업에서 서버의 로컬 관리자 계정, 라우터 및 방화벽 암호 등과 같은 거의 사용되지 않은 암호, 약 50 정도의 상점은 실제로 sysadmin만이 암호를 알고있었습니다. 그들은 봉투에 종이에 적어졌습니다. 보스, SysAdmin 및 헤드 프로그래머가 봉인하고 서명 한 봉투 3 개가 있다고 생각했습니다. 각 개인은 서류 사본을 가지고있었습니다. 암호가 사용 된 경우 암호를 변경하고 새 봉투를 만들었습니다.

현재는 훨씬 더 큰 규모의 조직에 15 명의 시스템 관리자 만 있고 수천 명의 사용자에게는 서버 이름을 기반으로 암호를 계산하는 방법이 있습니다. 여기에는 알려진 접두사와 종이에 할 정도로 간단한 해시 방법이 포함됩니다. 누군가가 떠나거나 다른 이유로 비밀번호를 변경해야 할 때 접두사 또는 해시 또는 둘 다를 변경합니다. 그렇게하면 주변의 모든 컴퓨터 또는 장치에 대한 암호를 모르는 동안 어떤 이유로 든 필요한 경우 암호를 계산할 수 있습니다.

2
Laura Thomas

대칭 옵션과 함께 GPG를 사용하여 모든 비밀번호가 포함 된 텍스트 파일을 암호화하십시오. 그런 다음 다른 관리자에게 하나의 암호를 제공하기 만하면됩니다. 관리자가 회사를 떠날 때 새로운 암호로 텍스트 파일을 다시 암호화하십시오.

1
Dereck Martin

원심 분리기는 나를 위해 일하고있다.

1
Bob

서버에 액세스하는 경우 :

하나의 서버에 대한 액세스를 제공하고이를 점프 상자로 사용하고 점프 상자에서 계정을 관리하십시오. 점프 박스에 신뢰할 수 있다고 가정하는 것은 원격 리소스에 신뢰할 수 있습니다. 이런 식으로 모든 사람이 자신의 암호를 가지고 있으며 특정 계정에 대한 서버의 암호를 비밀로 유지할 수 있습니다.

다른 자원에 액세스하려면 다음을 수행하십시오.

필수 담당자 만 액세스 할 수 있도록 제한하십시오. 신뢰할 수있는 사용자 목록을 관리하십시오. 90 일마다 비밀번호를 변경하고 신뢰할 수있는 사용자 목록을 업데이트하십시오. 15, 7, 1 일 전에 보류중인 변경 사항을 사람들에게 알리십시오. 비밀번호는 관리자에게만 배포하고 액세스 권한이 필요한 사람을 결정하도록 허용하십시오. 유틸리티를 사용하여 액세스를 기록하고 정기적으로 모니터링되는 시스템을 사용자에게 알립니다. 서버에서 재미있는 사업은 알려진 용어 위반이되어야합니다.

1
ojblass

나는 전에 같은 문제가 있었다. 나는 이것을 스스로 처리하는 시스템을 구축했다. 계정 정보를 입력하고 올바른 사람이나 그룹 만 데이터에 액세스 할 수 있도록 웹 인터페이스를 사용하여 데이터베이스 내에서 사용자 이름과 비밀번호를 고도로 암호화 된 형태로 저장했습니다.

수십 대의 서버에있는 서비스가 동일한 로그인을 사용하고 비밀번호 변경을 미리 설정해야했기 때문에 비밀번호 변경시기를 묻지 않았습니다.

직원이 로그온을 볼 때마다 SOX 감사자를 위해 감사 로그를 Excel에 덤프 할 수 있도록 전체 감사 기능으로이를 빌드했습니다.

1
mrdenny

와우, 좋은 실! 아무도 내가 선호하는 해결책에 대해 언급하지 않았으므로 (통과 제외) KeePass에 외침을 줄 것입니다. 암호, 키 또는 AD 기반 인증으로 확장 성이 뛰어납니다. 우리를 위해 일을 훌륭하게합니까?.

1
RainyRat

우리는 대통령과 폭탄과 같은 시스템을 가지고 있습니다. 두 사람은 각각 암호의 절반을 알고 있습니다. 그렇게하면 한 명의 불량 관리자가 해고되지 않고 스스로 승인되지 않은 변경을하는 상황이 발생하지 않습니다.

0
Maximus Minimus

나는 이것이 정확히 당신이 원하는 대답이 아니라는 것을 알고 있지만, 내 직장에서 정확히 동일하고 신뢰할 수있는 직원에게 관련 암호가 주어지며 암호는 장치간에 공유되지 않으며 기록되지 않습니다. 일반적으로 장치 관리는 두 명의 직원 구성원 만 담당하므로 시스템은 매우 잘 작동합니다. 또한 직원 유지율이 매우 우수하므로 장기간 신뢰를 쌓을 수 있습니다.

0
PixelSmack

저는 IT 회사에서 일하고 많은 고객이 있으며 일반적으로 문제를 원격으로 해결합니다. 우리는 ssh를 사용하여 로그인하여 문제를 해결합니다. 우리는 하나의 머신 ssh-key를 모든 클라이언트 머신에 추가했습니다. 따라서 다른 사람이 있으면 로그인하고 문제를 해결하는 데 도움이 될 것입니다. 확보. 좋은 암호를 원하면 숫자와 추가 문자를 사용하는 것이 좋습니다.

Ssh 키를 추가하려면 다음을 수행하십시오.

1. ssh-keygen -t dsa (.ssh/id_dsa.pub에서 ssh 키를 얻으려면

  1. scp .ssh/id_dsa.pub root @ remote : ~/tmp

  2. 원격 컴퓨터에서

고양이 >> /tmp/id_dsa.pub .ssh/authorized_keys2

다른 콘솔에서 macine을 제거하려면 로그인하십시오 ... :) happy sshhhhhh

0
Caterpillar

일종의 암호 저장소 소프트웨어를 사용하고 싶을 수 있습니다. 이렇게하면 인증 된 사용자에게 자신의 액세스 권한을 부여하고 사람들이 메모를 남길 때 정보가 유출되지 않도록 할 수 있습니다. 좋은 암호는 암호를 표시하지 않고 클립 보드에 놓아 잘라 붙여 넣기 만하면됩니다.

0
user2278