Gestión de contraseñas dentro de una organización

Aunque he visto muchas implementaciones de soluciones para este problema, creo que la más completa, si no la más conveniente, fue un repositorio de Git restringido a los superusuarios que solo contienen archivos de texto cifrados de contraseñas por entorno. La gestión de la rotación de contraseñas en los dispositivos, servidores mixtos y dispositivos dedicados, como módems, se manejó por separado.

Esta solución simplificó en gran medida la distribución de nuevas contraseñas, ya que los usuarios debían realizar una actualización simple para recibir la última revisión de las contraseñas, además de proporcionar un historial rastreable de las contraseñas anteriores para el mantenimiento de registros.

Como recuerdo, los archivos estaban cifrados con GPG, pero existen numerosas soluciones y enfoques viables para manejar los archivos en sí mismos.

El inconveniente obvio de este enfoque es que, especialmente cuando las contraseñas han cambiado, usted está descifrando uno o más archivos en busca de la (s) contraseña (s) requerida (s). Por supuesto, como con cualquier otra cosa, cuanto más frecuentemente use una contraseña, más probabilidades tendrá de memorizarla y, dependiendo del dispositivo (s) en cuestión, el acceso puede ser un evento infrecuente que no se ve obstaculizado por tener que pasar. un proceso algo más largo para obtener la contraseña adecuada.

Si también está interesado en estrategias y / o scripts para generar y / o cambiar contraseñas en servidores y / u otros dispositivos, me gustaría compartir las que yo también empleé.

-

Me encantaría.

Supondré que está familiarizado con el cifrado de archivos, PGP o de otro tipo. Si esto es erróneo, no dude en preguntar y con gusto le daré algunos ejemplos.

La configuración de un repositorio Git es relativamente sencilla y mostrará similitudes con la mayoría de las soluciones de administración de contenido con las que puede tener experiencia. Una nota con Git: es, por diseño, completamente abierta y, como tal, requerirá pasos adicionales para restringir el acceso a archivos o repositorios específicos. Esto se puede lograr de manera relativamente simple aprovechando las ACL del sistema de archivos (solo una posible solución). Dicho esto, sin duda le recomendaría que utilice una solución con la que se sienta cómodo y familiar, especialmente si su organización ya utiliza soluciones alternativas de administración de contenido.

Los archivos representarán, por definición, una base de datos de contraseñas que correlacionará los identificadores del dispositivo, como el nombre de host, las contraseñas y, potencialmente, los nombres de usuario. Por ejemplo: router-1.internetdomainwebsite.com administrator soopersekretpasswerd . Lo ideal es que nunca almacene el archivo sin cifrar, sin embargo, seguir esta estrategia hace que la recuperación de contraseñas sea relativamente inconveniente. Por este motivo, recomiendo que un usuario acceda a las secuencias de comandos para que funcione dentro de su marco de encriptación, tal vez tome un identificador como término de búsqueda y escriba solo la contraseña solicitada en un archivo para que el solicitante la use una sola vez.

Cualquier dispositivo que admita cambios de contraseña puede tener secuencias de comandos. Dado que la mayoría de los dispositivos admiten el cambio de contraseñas de una CLI, recomendaría echar un vistazo al lenguaje Expect y / o sus bibliotecas para Perl, Python o el idioma que elija. Personalmente, uso un script que acepta el nombre de usuario deseado, acepta la contraseña actual, acepta y verifica la contraseña deseada, luego cambia y verifica el cambio en todos los hosts que se pasaron o proporcionaron cuando se les solicitó. Es bastante escueto Perl con espera.

Según su comentario, está hablando de sistemas y dispositivos que insisten en usuarios compartidos / modo de usuario único:

En primer lugar, trata de evitar / minimizar esto tanto como sea posible.

Segundo, evita y minimiza esto tanto como sea posible.

Tercero, esto definitivamente debería ser una consideración al evaluar productos / servicios: si tiene una inseguridad tan inherente, es posible que no lo desee después de todo. Es probable que también haya otros problemas ...

Cuarto, verifique con el proveedor / proveedor para ver si hay una manera de configurarlo de manera segura.

En quinto lugar, considere la posibilidad de crear una aplicación delgada de tipo "proxy", que imponga la autenticación del usuario, y luego use su propia cuenta única para el dispositivo, con su propia contraseña aleatoria interna.

Sexto: si aaaalll lo anterior no es relevante / no funciona (¿en serio?) - He visto lugares que tienen una carpeta cifrada con ACL, o mejor dicho, un sistema de cifrado seguro con acceso otorgado solo a los administradores, y en él los archivos almacenados con las contraseñas generadas aleatoriamente.
Dependiendo de su cultura / tipo de organización, podría ser mejor imprimir las contraseñas y almacenarlas en SEGURO seguro, protegidas por sus oficiales de seguridad, y la combinación dada solo a los administradores ...

Dirijo una agencia digital y, a menudo, tenemos que administrar un rango de contraseñas y compartirlas entre nuestro equipo de desarrolladores / administradores, etc., así que hemos estado investigando la mejor manera de gestionar esto. (Anteriormente usábamos KeePass sincronizado en Dropbox, pero se estaba volviendo inmanejable).

Hemos decidido una solución en la nube / alojada a la que se puede acceder desde nuestras computadoras y dispositivos móviles cuando estamos fuera de la oficina.

Estas son algunas de las opciones que hicieron nuestra lista restringida:

• LastPass
  Las entradas individuales se pueden compartir con una cuenta gratuita, pero requiere una cuenta premium ($ 12 / año) para compartir una sola carpeta, o una cuenta empresarial ($ 24 / año) para compartir varias carpetas.

• 1Password
  $ 3-8 por usuario por mes, según el plan

• Passpack
  Gratis para 1 usuario, $ 18 / año para 3 usuarios, $ 48 / año para 15 usuarios.
  Desafortunadamente, la interfaz de usuario no es tan amigable como podría ser, pero se supone que en 2014 se realizará un rediseño.

• Dashlane
  Cuenta básica gratuita, o $ 40 / usuario / mes para sincronizar entre dispositivos y compartir más de 5 elementos.

  Consulte: Análisis de seguridad de Dashlane

• CommonKey
  Gratis para equipos de 3, o $ 20 / mes + $ 2 / usuario / mes para características de la empresa / empresa.

• Mitro
  Interfaz de usuario gratuita y excelente, pero con pocas funciones.

• Meldium (ahora propiedad de LogMeIn)
  A partir de $ 29 / mes para 20 usuarios.

• RoboForm Enterprise
  $ 37.95 por licencia, una sola vez.

No puedo comentar sobre la seguridad de cada uno de ellos, pero la mayoría ahora (¡afortunadamente!) realiza el cifrado en el lado del cliente, de modo que ni los desarrolladores ni los administradores de la empresa pueden acceder a sus contraseñas.

LastPass parece satisfacer la mayoría de nuestras necesidades, por lo que actualmente estamos probando eso. Originalmente, nos recomendaron Passpack, pero encontramos la interfaz bastante torpe y se negó a importar nuestro archivo KeePass que contiene un par de cientos de cuentas.

Por favor, comente si tiene detalles adicionales o alguna adición a esta lista que valga la pena, y trataré de actualizarla.

Vea también: ¿Qué tan seguros son los administradores de contraseñas como LastPass?

Las contraseñas son el problema, no la solución. El problema general es la autenticación y autorización seguras, que a menudo se ven como parte de la "Administración de identidad".

LDAP o Kerberos / AD se pueden usar para centralizar la autenticación y mantener sincronizadas las contraseñas. Usar SSH y la autenticación de clave pública / privada es otra buena opción.

El enfoque más moderno es resolver ese problema de una manera más general y conveniente, que también ayuda a las personas a pasar de las contraseñas a tokens seguros u otras formas más sólidas de autenticación. Un sistema de inicio de sesión único que permite a las personas autenticarse una vez y luego aprovechar esa autenticación para autorizar el acceso a otros servicios es una solución común.

Los enfoques técnicos para hacer eso incluyen OAuth, SAML, Shibboleth e InfoCard.

Las contraseñas de root y las cuentas de administrador de todo tipo deben hacerse de la siguiente manera:

3 partes interesadas clave los asignan al azar con un surtido de caracteres muy pseudoaleatorio de tamaño máximo.

Los escriben (sin memorizarlos) y los ponen en sobres y los guardan / aseguran de forma segura. Los rotan cada año con nuevas frases de contraseña.

El uso diario se realiza a través de cuentas de administrador de grupo vinculadas a nombres reales, separando a los contratistas por nombre de cuenta (por ejemplo, admcjsmith en lugar de admjsmith) y dominio (si es posible). Unix / LDAP se realiza de manera similar, p. Ej. via sudo.

Las cuentas nombradas como root y Administrator nunca deben usarse ni conocerse. De manera similar, las cuentas clave de acceso en la nube / API deben estar compartimentadas y protegidas.

Usamos KeePass para almacenar las contraseñas. Cada líder de equipo en TI (Seguridad, Sistemas, Clínica, Negocios, Auxiliar) es responsable de la base de datos de KeePass de sus equipos y del mantenimiento de los contenidos. Si alguien con acceso a una base de datos determinada deja el departamento o la organización, se deben cambiar todas las contraseñas en esa base de datos.

He visto y revisado aplicaciones que representan la autenticación para admitir la auditoría y la administración de contraseñas. Funcionaron para algunas de nuestras aplicaciones más comunes, pero no abordaron las aplicaciones específicas de la industria que utilizamos.

He trabajado con "Secret Server" en enlace . Puedo proporcionar una única contraseña y compartirla con tantas personas como desee.

Hay una pista de auditoría y una gran funcionalidad de búsqueda integrada en la aplicación web. También hay una versión en línea "en la nube" de la aplicación que es gratuita para un usuario.

Puede crear un nuevo secreto para cada dispositivo que tenga y agregar el suyo según sea necesario:

Todos los accesos a esta base de datos están protegidos por credenciales locales o de Active Directory. Si elige hacerlo, puede tener un inicio de sesión (SSO) sin problemas para acceder a la base de datos del usuario que ha iniciado sesión actualmente sobre Kerberos / NTLM.

En general, creo que esta es una buena opción para un equipo y un repositorio general para la información de seguridad corporativa.

Estoy de acuerdo con nealmcb en que, en un entorno controlado con administradores competentes, una solución de inicio de sesión único es probablemente la mejor.

Para obtener información sobre el seguimiento de las credenciales de sitios web o servicios de terceros, puede consultar la solución empresarial de lastpass.com que le permite compartir las credenciales de inicio de sesión con usuarios y roles específicos.

También he escuchado "Clipperz" mencionado en este contexto anteriormente, pero no tengo experiencia con él.

Realmente me gusta Password Manager Pro . Es un sitio web vinculado a su anuncio / ldap que compartirá las contraseñas de su organización a cualquier grupo que desee, las personas también pueden almacenar sus propias contraseñas.

Hará algunos trabajos de políticas sólidas, historiales, auditorías y lo que no.

También tiene capacidades de cambio, he conectado algunas secuencias de comandos de Pam para realizar algunos cambios directamente desde el PMP que, de lo contrario, habría sido una molestia.

Algunas de las contraseñas duras, como la contraseña de la solución de red, las contraseñas de centros de datos remotos de ayuda y cosas por el estilo, tienen alguna lógica enlatada que se puede ajustar. Increíble cuando realiza todo ese trabajo para ver cuánto tiene colgando por ahí y cuánto debería tener más / múltiples conjuntos de usuarios, etc.

Depende principalmente de la política y los requisitos de la empresa.

Por ejemplo, si la mayoría de las credenciales son utilizadas por herramientas automatizadas (para propósitos de integración continua), puede usar la función Ansible Vault que le permite mantener datos confidenciales como contraseñas o claves en archivos cifrados. . Estos archivos pueden estar bajo el control de versiones y las personas que acceden a ellos siempre pueden ejecutar ansible-vault view some-encrypted-file .

Si no planea usar Ansible , simplemente puede usar GPG Tools y comprometer archivos cifrados en el repositorio de código.

Si está utilizando plataformas en la nube extensivamente (como Amazon Services), ciertas plataformas de administración en la nube (como Scalr ) le permiten para organizar contraseñas y claves privadas en línea.

Si sus contraseñas solo necesitan ser administradas por personas, puede usar los administradores de contraseñas como se menciona en la otra respuesta , como Dashlane , que admite sincronizar y compartir contraseñas de forma segura . Si busca soluciones gratuitas y de código abierto, intente usar herramientas como KeePass .

Passpack parece ser un servicio desarrollado exactamente para este propósito. Permite almacenar la contraseña (y otra información) en línea en forma encriptada y compartir los derechos de las contraseñas dentro de un equipo. También es compatible con el inicio de sesión de un clic por el script de marcador del navegador.

Todavía no tengo experiencia en usarlo. Pero después de hacer una pequeña investigación sobre el tema de hoy, Passpack se parece a la solución que usaremos en nuestro equipo de 7 personas.