Question Comment une équipe d'administrateurs de systèmes partage-t-elle les mots de passe en toute sécurité?


Quelles sont les meilleures pratiques pour partager des centaines de mots de passe entre quelques personnes? Ces mots de passe protègent les données critiques et ne peuvent jamais être visibles au-delà d'une petite équipe.


81
2018-06-02 23:50


origine


Voir les connexes serverfault.com/questions/3696/…  serverfault.com/questions/2186/…  serverfault.com/questions/10285/…  serverfault.com/questions/21374/… - Zoredache
BTW des centaines est un nombre très troublant. Que se passe-t-il lorsqu'un membre de l'équipe est renvoyé? Mettre à jour des centaines de mots de passe sera pénible. - Zoredache
Appuyé sur le "centaines est un nombre très troublant" chose. Je pense que vous devez peut-être revenir en arrière et reconsidérer la façon dont vous gérez l’ensemble du problème de la sécurité plutôt que d’essayer de coller du plâtre sur ce que vous avez actuellement. - Maximus Minimus
Un peu lié: serverfault.com/questions/119892  En particulier cette réponse: serverfault.com/questions/119892/company-password-management/… - Nathan Hartley


Réponses:


J'écrirais probablement une solution Web personnalisée hébergée sur un intranet d'entreprise. (jeter un coup d'œil à http://lastpass.com pour l'inspiration, ou pour l'utiliser. Le partage de mots de passe est l'une de ses fonctionnalités, même si cela peut ne pas fonctionner pour votre volume.)

MODIFIER: Bien sûr, meilleure solution, ne les partagez pas. Stocker des mots de passe en clair sur n'importe quel support est dangereux, en particulier lorsque le but de les stocker est de les partager. Il existe un nombre presque infini de solutions, chacune apportant un péril associé. Pourquoi ne pas les placer sur une image disque cryptée, graver cette image sur un seul CD, placer le CD dans un coffre-fort qu'un seul gardien armé peut ouvrir et autoriser les personnes à présenter une pièce d'identité avec photo à le faire déverrouiller?

Le fait est que nous ne connaissons pas vraiment votre scénario. Pourquoi partagez-vous des centaines de mots de passe critiques? S'agit-il de votre intranet backoffice, VPN, ou sont-ils des mots de passe de clients que vous conservez en clair pour une raison quelconque? Est-ce que toutes les personnes avec lesquelles vous devez le partager dans la même installation? Est-ce qu'un transfert physique, comme un CD crypté ou une table imprimée stockée dans un coffre-fort, fonctionnerait réellement? Ou vos administrateurs système sont-ils répartis dans le monde entier, ce qui vous permet de les partager électroniquement? seulement Solution?


14
2018-06-02 23:58



IMO Construire votre propre système de sécurité / cryptage n’est presque jamais la bonne approche d’un problème. - Zoredache
@ Zoredache, c'est une charge de merde. Bien que, je pense que la solution Web pour l'hébergement de mots de passe est stupide - mais il l'a fait, mais msanford a dit intranet. Toujours risqué cependant. Idem pour toutes les autres solutions en réseau. - d-_-b
@Zoredache, l'OP ne construit pas de système de cryptage personnalisé, il semble que tout ce dont il a besoin est une base de données sécurisée. @sims Je ne vois rien de mal à une solution Web bien conçue. La réponse positive suggère précisément cela (sur le Web! = Http; sur le Web = stocké en ligne). Certes, une fois que j'ai lu cette question une seconde fois, je conviens que le modèle de base consistant à partager des tonnes de mots de passe semble probablement inutile et qu'une meilleure solution pourrait être trouvée. Mais le PO n'a pas fourni assez d'informations pour que je puisse porter ce jugement… - msanford
> @ Zoredache, c'est une charge de merde. <Euh, Sims, vous vous en prenez à la plupart des gens du chiffrement dès le départ. Il est difficile de concevoir un chiffrement, ce qui en fait un travail rentable est encore plus difficile. schneier.com/essay-037.html  Parfois, le moindre mal - celui que vous connaissez - est le meilleur choix, face à un mal que vous ne connaissez pas (par exemple, une conception non testée, non révisée par des pairs, peut comporter des bugs, des failles de sécurité, etc. ) - Avery Payne
@Avery - la conception d'un système cryptographique est difficile et devrait être laissée aux experts, oui. L'utilisation d'outils éprouvés, tels que GPG sur un fichier texte partagé ou Keepass (qui utilise les implémentations .NET de AES et SHA-256) ne permet pas de concevoir votre propre système. - mfinni


La meilleure pratique est de ne pas partager les mots de passe. Utilisez des outils tels que sudo pour permettre aux utilisateurs d'obtenir l'accès dont ils ont besoin à partir de leur propre compte. Si vous avez quelques utilisateurs, chacun doit avoir son propre compte si nécessaire. LDAP (Unix / Linux) et Active Directory sont une bonne solution pour accorder l'accès à plusieurs serveurs à partir d'une base de données commune.

Lorsqu'il est nécessaire d'avoir une copie écrite d'un mot de passe, mettez-la dans une enveloppe datée et signée. Changer le mot de passe quand il est utilisé. Lorsque le mot de passe est changé, fermez-le avec une nouvelle enveloppe.

Pour les mots de passe devant vraiment être partagés, utilisez l’un des outils de mot de passe comme Keepass, qui peut avoir sa base de données sur un réseau. Les outils avec des clients pour plusieurs plates-formes sont meilleurs. Déterminez si vous avez besoin de plusieurs bases de données. N'oubliez pas que vous devez vraiment faire confiance à tous ceux qui ont accès à ces données.


38
2018-06-03 00:04



+1 pour les comptes d'utilisateur sans privilèges pour les administrateurs avec une éventuelle élévation de privilèges. Sur les serveurs * nix, je combinerais cela avec l'utilisation de la certification dsa / rsa uniquement pour sshd. Si vous utilisez des outils graphiques sous Linux, vous pouvez également utiliser une configuration de policykit personnalisée. - Aaron Tate
Ce. Révoquer l'accès pour les utilisateurs lorsqu'ils utilisent des informations d'identification partagées est un cauchemar absolu. Dans la mesure du possible, déléguez l'accès via un compte utilisateur unique. Il existe toujours quelques situations où un mot de passe commun est inévitable, mais «des centaines» de mots de passe partagés crient à un défaut de conception essentiel. - Chris Thorpe
Je ne serais pas d'accord avec le partage des mots de passe, mais il existe de nombreuses situations où cela est nécessaire, par exemple des périphériques réseau avec un seul identifiant, des sites de fournisseurs où tous les administrateurs système utilisent le même identifiant pour la commande, et des utilisateurs SQL sa ou des mots de passe d'administrateur local où nécessaire. C'est pourquoi je pense que KeePass est ce qu'il y a de mieux pour cela: il fonctionne sur plusieurs plates-formes, permet une grande sécurité et organise facilement des centaines de mots de passe. - Paul Kroon
Nous avons une variante à ce sujet, où nous avons des mots de passe racine écrits mais verrouillés dans un coffre-fort que seules les équipes systèmes ont les clés à ouvrir. Nos mots de passe racine eux-mêmes comportent 16 caractères et sont générés de manière à être pratiquement impossibles à mémoriser. Oui, il y a une certaine insécurité là-bas, mais si quelqu'un casse le coffre-fort, je soupçonne que nous avons de plus gros problèmes. - Frenchie
Voici un scénario de cas d'utilisation réel pour notre équipe: partage de mots de passe pour des applications Web pour lesquelles elles ne prennent pas en charge plusieurs connexions pour un seul compte. Par conséquent, si plusieurs membres de l'équipe doivent pouvoir accéder à ce compte, il doit exister un moyen de partager les mots de passe de ce compte. - Jordan Reiter


Nous sommes allés avec KeePass pour ce but précis. C'est un excellent petit programme qui stocke tous vos mots de passe dans un fichier de base de données crypté. Il existe des fonctionnalités de sécurité supplémentaires telles que le besoin d'un fichier de clé avec le mot de passe principal pour accéder aux mots de passe. Cela permet plusieurs couches de sécurité (séparer le fichier de clé et la base de données), tout en gardant la possibilité pour tout le monde de travailler avec tous les mots de passe. Par exemple, vous pouvez exécuter l'application et le fichier de clé sur un lecteur USB, mais stocker la base de données sur votre réseau quelque part. Cela nécessiterait des informations d'identification pour le partage réseau, le mot de passe principal et le lecteur USB physique avec le fichier de clé.


10
2018-06-02 23:59



KeePass semble prendre en charge plusieurs plates-formes, une grande victoire à mes yeux (je travaille dans un environnement multi-plateformes). La fonctionnalité "auto-type" semble également utile. - Avery Payne
Idée stupide de garder les mots de passe sur le réseau. - d-_-b
@Sims - alors comment les partagez-vous? KeePass utilise un fichier crypté pour le magasin. C'est simplement une version plus utilisable d'un fichier texte crypté par GPG sur un serveur Unix auquel tout le monde a accès. - mfinni
@Sims - Je suis normalement d'accord avec vous, mais la situation devient sécurité / productivité. Je ne voudrais pas mettre le mot de passe root d'un serveur dans quelque chose comme ceci, mais le mot de passe administrateur d'un commutateur de couche 2 qui n'a qu'un seul identifiant de connexion est un bon candidat pour cela. Il y a un moment où il faut plus de travail pour faire les choses de manière plus sécurisée que pour nettoyer après une faille de sécurité. De plus, en plus de tout le cryptage, vous auriez une sécurité AD / NTFS sur le fichier et un peu d’obscurité en plaçant le fichier (qui peut être nommé n’importe quoi) à un emplacement aléatoire. - Paul Kroon
Je ne pensais pas à une machine Windows. Mais oui, si vous ne pouvez avoir qu'un seul utilisateur pour ce commutateur, alors je suppose que cela aurait du sens. Autrement, comme le dit Bill, dites non pour les mots de passe partagés, ce qui était également mon propos concernant les clés. - d-_-b


Quelles sont les meilleures pratiques pour partager des centaines de mots de passe entre quelques personnes?

Facile, cela se décline en deux saveurs:

  1. Vous n'avez pas, clair et simple. Si vous choisissez de le faire, vous reportez l'authentification par mot de passe à une autorité de confiance externe et vous contrôlez l'authentification à partir de là.

  2. Ce que vous faites, mais ce faisant, vous avez des contrôles d’accès externes avec des mots de passe ou des jetons de sécurité qui ne sont pas enregistrés dans le système que vous utilisez (c’est-à-dire que l’enregistrement des mots de passe est protégé par un autre mot de passe dont la disponibilité est limitée). Cela pose de nombreux problèmes.

Ces mots de passe protègent les données critiques et ne peuvent jamais être visibles au-delà d'une petite équipe.

Vous devez sérieusement envisager un service d'authentification sécurisé qui s'intègre à un service d'annuaire pour résoudre le problème. La combinaison DS / AS crée une "autorité" de confiance pouvant jouer le rôle d'arbitre pour tous vos utilisateurs et appareils. L'accès aux comptes d'utilisateurs peut être extrait du mot de passe réel utilisé dans l'authentification, ce qui facilite la "déconnexion" des mots de passe de la stratégie d'accès. Le contrôle des mots de passe se fait par la désactivation du compte de l'utilisateur. ainsi, si un administrateur part, vous fermez simplement son compte et son accès a disparu (parce que le mot de passe de cette personne n'accorde l'accès que sur la base de la validité du DS / AS confirmant la validité du compte).

Cela ne fonctionnera que si vous êtes dans un environnement qui permet à vos appareils / programmes de shunter leurs demandes d'authentification à des sources externes. Ce n'est donc peut-être pas une solution pour vous.. Si vous avez un pourcentage important de périphériques / programmes pouvant prendre en charge l'authentification externe, je le ferais, si simplement consolider plusieurs centaines de mots de passe en une liste gérable de, disons, une douzaine. Si vous décidez de vous lancer dans cette voie, il existe plusieurs solutions sur le marché, bien connues et éprouvées.

  • Active Directory.  Le groupe le plus connu est probablement Kerberos en tant qu'option d'authentification et fournit LDAP pour DS de base.
  • Samba / Winbind.  Pensez à cela comme à "Active Directory Light", vous n’obtenez pas toutes les fonctionnalités d’AD, mais un ancien modèle basé sur NT4 (pensez au hachage LANMAN). Cela sera remplacé par l'intégration AD de Samba 4 et sera probablement "disparaître".
  • Services d'annuaire Novell.  Je n'en sais pas assez pour le recommander, mais je sais qu'il existe toujours. Un grand nombre d'entités gouvernementales utilisent encore des NDS, donc si vous travaillez dans ce "secteur", cela vous intéressera. Novell a récemment porté les NDS à fonctionner en tant que service Linux, mais je ne sais pas s'il s'agit toujours d'un produit actif (environ 2005).
  • LDAP + Kerberos.  Il s’agit en gros d’Active Directory "maison", moins toutes les "fonctionnalités intéressantes". Cependant, il s’agit également de composants connus avec une base de code stable et mature. L’intégration de ces services correspond généralement à l’ampleur de la "personnalisation" nécessaire au bon fonctionnement.
  • SSH Keys + (insérez ici le programme d’administration système, probablement puppet).Utile uniquement lorsque SSH est omniprésent et que tous les périphériques sont accessibles de cette manière. Les clés peuvent être distribuées et révoquées si nécessaire, et les mots de passe deviennent "non pertinents" car la clé SSH autorise l'accès. L'utilisation d'un système tel que marionnette vous permet de mettre à jour des centaines de machines en émettant des commandes en masse pour ajouter / révoquer des clés SSH.
  • Une certaine combinaison de ce qui précède.

Il y a aussi une question de combien de sécurité vous avez besoin. Vous n'avez pas précisé si par "mission critique", vous voulez dire que les ogives nucléaires peuvent pleuvoir sur les villes, ou si "mission critique" signifie que la dernière cargaison de Furbies ne parviendra pas à la ville. Cela aiderait vraiment si quelque chose décrivait une évaluation du risque / de la menace.


5
2018-06-03 20:37





Je sais que c’est une vieille question, mais j’ai récemment découvert une solution Web open source appelée Chambre forte d'entreprise cela peut être intéressant pour certains. Je n'ai pas encore eu l'occasion de l'essayer.


2
2017-12-16 00:31





nous utilisons un programme appelé Mot de passe sécurisé. c'est agréable et très sécurisé, vous pouvez configurer la base de données sur un lecteur réseau et donner à tous ceux qui en ont besoin l'accès et le mot de passe au coffre-fort, qui stocke ensuite tous les noms d'utilisateur et mots de passe cryptés de manière sécurisée.


1
2018-06-03 02:57





Quelques choses:

  • Comme d'autres l'ont dit, c'est une mauvaise idée. Utiliser un LDAP, etc.
  • Si vous vous engagez à le faire pour quelque raison que ce soit, consolidez au moins les mots de passe. 100 mots de passe non gérés signifient que vous ne mettez pas à jour les mots de passe.
  • Gardez-les sur du papier. Exiger que le personnel signe le papier dans une encre de couleur différente pour pouvoir déterminer plus facilement si une feuille a été copiée.
  • Si vous êtes sous Unix, utilisez S / KEY pour générer des mots de passe à usage unique. Rangez-le dans un endroit sûr.

Vous devez également aller au-delà des mesures de sécurité mécaniques consistant à placer les mots de passe papier dans un coffre-fort ou à les chiffrer. Découvrez comment les organisations dotées de modèles de sécurité matures sécurisent les clés et les combinaisons en toute sécurité. Je ne recommande pas de faire ce que vous voulez faire, mais si vous le faites:

  • Les personnes qui utiliseront les mots de passe ne peuvent pas contrôler l'accès aux mots de passe. Un groupe distinct de personnes appartenant à une chaîne de gestion différente doit contrôler l'accès au coffre-fort, au tiroir, etc. Si vous avez un groupe financier, ils peuvent être candidats. Peut-être le vice-président du marketing, etc.
  • Il doit exister un journal écrit lorsque le coffre-fort est ouvert et que quelqu'un prend possession d'un mot de passe.
  • Le mot de passe doit être changé dans les 24 heures après avoir été extrait.

De telles procédures sont douloureuses, mais elles inciteront les gens à adopter des pratiques plus saines. Si vous ne faites pas ce que je viens de décrire, ne vous embêtez pas pour verrouiller les mots de passe, car vous risquez de subir une violation un jour de toute façon.


1
2018-06-03 15:06