Схема паролей для всей компании для разных клиентов

Рассмотрим компанию, которая поставляет сеть компьютеров как часть своих поставок. И это делает это для сотен различных клиентов. Все компьютеры должны иметь безопасные пароли. Это по крайней мере означает:

  • Пароль должен соответствовать основным правилам пароля (заглавные буквы, цифры, специальные символы и т. Д.)
  • Один и тот же пароль не должен использоваться для разных клиентов.
  • Пароль не должен быть легко угадываемым.
  • Если возможно, один и тот же пароль не должен использоваться для разных компьютеров в сети (но это может быть приемлемо).
  • Поскольку также необходимо поддерживать эти системы как часть поставки, операторы должны иметь возможность легко получить пароль для конкретной системы, не вызывая проблем с безопасностью (таких как пересылка паролей в электронной почте и т. Д.).

Вот мои вопросы относительно такой установки:

  1. Желательно ли создать схему паролей, чтобы операторы могли "вычислить" пароль без необходимости поиска? [Проблема в том, что после раскрытия схемы все системы будут иметь проблемы с безопасностью.]
  2. Как хранить / восстанавливать пароли для обеспечения безопасности? [Есть ли программа, которую можно использовать для доступа к защищенной базе данных через веб-интерфейс?]

Я нашел WebKeePass во время моего расследования (что выглядит многообещающе). Еще один вариант - распечатать пароли и хранить их в запертом шкафу в заброшенном туалете в подвале с табличкой на двери с надписью "Остерегайтесь леопарда"? но я считаю, что это не будет удобно для оператора. Интересно, какие еще варианты будут...

Обновление: веб-интерфейс не должен быть открыт для публичного доступа (т. Е. Он может быть доступен только внутри VPN).

Источник

1 ответ

Решение

Поскольку пользователи не могут выбрать свой пароль, пароли должны генерироваться случайным образом. Если пароли генерируются с использованием какого-либо алгоритма, как вы сказали, после взлома алгоритма все пароли могут быть взломаны.

Если вы должны хранить извлекаемые пароли, вы все равно должны зашифровать и засолить их. См. Недавнюю проблему Adobe, где 150 миллионов из зашифрованных паролей Adobe произошла утечка. Проблема с несолеными паролями заключается в том, что даже если я не смогу взломать шифрование, я все равно смогу увидеть всех, у кого такой же пароль, как у меня.

Admin Retrieval

Для получения паролей только для администратора вы можете использовать систему хранилища паролей, где один пароль, введенный сотрудником, открывает доступ к дополнительным сохраненным паролям. В идеале у вас должна быть система, в которой вы можете выбрать и отобразить один пароль на экране. Он должен зашифровывать пароли, доступ к журналам и контролироваться администратором.

Это может быть веб-система, но размещенная внутри внутренней сети, возможно доступ к которой осуществляется через VPN. RDP или что-то подобное также может быть жизнеспособным, возможно, даже с использованием двухфакторной аутентификации.

К сожалению, мы не рекомендуем продукты на Stackru.

Извлечение конечного пользователя

В прошлом мы разработали систему, в которой вы можете восстановить пароль через защищенный веб-сайт HTTPS. Вы просто вводите свое имя пользователя, и случайный одноразовый поисковый код доставляется на указанный адрес электронной почты.

Хотя мы не контролируем уровень безопасности их учетной записи электронной почты, мы по крайней мере предполагаем, что только пользователь знает пароль для доступа к учетной записи электронной почты. Это вынуждает пользователя повторно проходить аутентификацию в некоторой форме, чтобы восстановить свой пароль.

Затем они вводят код поиска в веб-форму и показывают свой пароль. Опять же, этот веб-сайт защищен с помощью HTTPS. Кроме того, пользователь должен держать веб-страницу открытой во время транзакции (безопасный сеанс), и IP-адрес не должен изменяться во время транзакции.

Источник
Другие вопросы по тегам