Как ваша компания управляет паролем "Enterprise"?
Мы говорили об управлении паролями личныйздесь, но как вы, ребята, управляете своими паролями на уровне всей компании?
Ответы 13
Мы используем Password Agent: http://www.moonsoftware.com/pwagent.asp
В нем хранится все, от логинов администратора ПК до логинов на веб-сайтах и ключей продуктов для всех используемых нами продуктов.
Нам удалось спланировать приложения нашей компании таким образом, чтобы они были в основном веб-приложениями с открытым исходным кодом или были разработаны собственными силами. Затем это позволило нам использовать LDAP для подключения к активному каталогу для входа в нашу интрасеть. Оттуда мы изменили логины для различных продуктов, которые мы используем (MediaWiki, Wordpress, SugarCRM и т. д.), Так что, если пользователь аутентифицирован в интрасети, он также автоматически входит в эти другие продукты.
Это заняло некоторое время на настройку процесса и создание сценария для установки всех соответствующих данных пользователя в каждой системе, когда кто-то присоединяется к компании, однако теперь у нас есть ситуация, когда всем нужно запомнить только один пароль, что устраняет необходимость в управлении постоянно растущий список паролей.
Очевидно, что это может оказаться неприемлемым для многих компаний, но теперь, когда мы его настроили, это стоило усилий.
Это больше похоже на решение "архитектуры паролей", чем на управление паролями. Это не устраняет необходимость обмена отдельными паролями для приложений между двумя пользователями (что не всегда может быть решено «правильным» способом, например, для учетных записей БД приложений, учетных записей администраторов и т. д.)
Очевидно, я предвзято, потому что я там работаю, но мы используем Enterprise Random Password Manager от Программное обеспечение Lieberman. Да, мы на самом деле тестируем наш собственный инструмент в нашей собственной сети. Он имеет некоторые приятные функции, такие как веб-доступность с делегированием, запланированная операция с повторной попыткой, распространение на другие вещи с использованием учетных записей (службы, приложения COM + и т. д.), Обнаружение системы / учетной записи, управление учетными записями Linux / Unix и т.
Я уверен, что продавец мог бы рассказать лучше, но это не так. Я рекомендую вам проверить это. :)
У нас есть собственная база данных Lotus Notes, в которой хранится абсолютно все, от паролей до записей об изменении сервера. Он большой, громоздкий, для загрузки требуется возраст, и в целом он не очень приятный.
Нет, это не разумный способ сделать это. : - |
Пароли, связанные с моей работой, я храню в простом незашифрованном файле passwords.txt в области пользовательского хранилища на главном файловом сервере компании. Обычно другие люди в компании не могут читать файлы в моем пользовательском хранилище, поэтому риск разоблачения невелик. Однако, если со мной что-то случится, то все мои пароли для деятельности, связанной с компанией, будут легко доступны другим внутри компании - просто спросите MIS.
Это, конечно, совсем другая модель безопасности, чем та, которую я использую для своих личных паролей.
Не могли бы вы подробнее рассказать о модели личной безопасности? Поместить файл passwords.txt в файл с достоверным шифрованием?
@ItsmeJulian: Я использую KeePass (и другие совместимые программы, такие как MacPass) для личных паролей.
есть ли мера того, как доверять исходному коду, особенно guis подвержены ошибкам?
Просто предупреждаем: у Microsoft есть продукт для управления учетными данными / паролями / идентификационными данными в различных системах: Менеджер жизненного цикла удостоверений
Мы используем Active Directory для хранения учетных данных пользователей и разработали настраиваемую библиотеку для настольных компьютеров и Интернета.
Мы рассмотрели продукт, который имел следующие особенности:
- Может давать права доступа к паролю, используя роли.
- Обрабатывает делегирование.
- Журналы доступа к паролям.
- Может рандомизировать пароли.
- Может автоматически повторно рандомизировать пароль через X дней после доступа к нему.
К сожалению, я не мог назвать это имя, когда разместил это ... Это был "Секретный сервер"
Я думал, что доложу после недели поисков ...
Я остановился на PassPack. Я использую его уже несколько дней для своих личных паролей, и я полный фанат.
Они используют шаблон Хостинг-Proof Hosting, поэтому единственный, кто может получить доступ к вашим материалам, - это вы, и если вы забудете свой пароль, они не смогут вам помочь.
У них есть несколько хороших автономных приложений, написанных с помощью Adobe AIR и Google Gears.
Но, что лучше всего, они соответствуют моим «корпоративным» требованиям, потому что предстоящий выпуск будет поддерживать совместное использование в доверенной группе.
Плюс я узнал о «Блог» «ненужных» кавычек на их форуме.
Я также ищу хорошую систему управления паролями, но я не могу доверять сайту, который не позволяет мне видеть их политику конфиденциальности или условия обслуживания. Я дошел до создания ключа упаковки, но когда он попросил меня подтвердить, что я прочитал и согласен с их условиями обслуживания / политикой конфиденциальности, я попытался щелкнуть ссылку. Каждый раз он просто выходил из системы и отправлял на свою страницу входа. Так что либо их программисты некомпетентны, либо компании есть что скрывать. Я не соглашаюсь на контракт, который не умею читать, и посоветовал бы другим не делать этого.
Похоже, что с тех пор проблемы @ Calvin были устранены.
Secret Server - это то, что выросло из внутренней потребности (внутри нашей компании-разработчика программного обеспечения) в жизнеспособный продукт, который сейчас используется во всем мире. Он основан на сети и позволяет хранить пароли, а затем безопасно делиться ими с другими пользователями и группами (даже с пользователями и группами AD). Он также может активно подключаться и изменять пароли по автоматическому расписанию, даже обрабатывая связанные зависимости, такие как службы Windows для учетных записей служб.
Управление паролями предприятия (бесплатная 30-дневная пробная версия).
Вы говорите, что хешируете пароли пользователей с помощью SHA512. Это не очень хорошо с точки зрения безопасности и не вселяет в меня большого доверия к вашему продукту.
Этот продукт - чушь собачья, я пробовал его, и для меня это не было хорошим опытом.
Используйте Сервер каталогов Apache, который является стандартной реализацией LDAP.
Вы можете управлять базой данных каталогов с помощью Студия каталогов Apache, поэтому она достаточно удобна для пользователя (или, по крайней мере, удобна для администратора).
Затем вы можете программно подключить каталог к любому приложению, которому требуется доступ к учетным данным, клиентские библиотеки LDAP широко доступны на популярных платформах программирования, таких как Java, C++, PHP, Ruby и т. д.
Мы успешно используем приложение KeePass. Мы создаем файл для каждого проекта и / или для бизнес-домена. Мы передаем пароль к соответствующему файлу KeePass между людьми, у которых должен быть доступ.
Это не лучшее решение. У нас также есть программное обеспечение Cyber-Ark, установленное в масштабах всей компании, но из-за некоторых странных правил конфигурации оно не работает для нас так же хорошо, как предыдущее решение. Это также может быть связано с тем, что у нас старая версия.
Мой деловой друг посоветовал мне попробовать Пассворк (https://passwork.me). Они используют самодостаточную версию на собственных серверах, я узнал, что у Passwork тоже есть SaaS. Так что я и мои коллеги храним пароли нашей компании в Пассворк.
Раньше мы пробовали других корпоративных менеджеров pw, но не могли им доверять.
Похоже, это только Windows. Для меня большой недостаток.