Almacenar contraseñas en Confluence frente a un administrador de contraseñas

3

Mi equipo SysOP está utilizando una página en Confluence para compartir las contraseñas de cuentas comunes. Les sugerí que usaran un administrador de contraseñas, pero ahora pensando ... ¿hay algún beneficio?

La página de Confluencia está limitada, de modo que solo el equipo de sysop puede acceder a ella, ¿cuál es la diferencia con un administrador de contraseñas? Necesitan usar una contraseña para iniciar sesión en su cuenta de Confluence y, por lo tanto, para acceder a las contraseñas. Si estuvieran usando un administrador de contraseñas, necesitarían una contraseña para desbloquearlo.

    
pregunta yzT 02.04.2016 - 10:48
fuente

3 respuestas

5

Hay diferencias significativas, tanto concretas como generales, entre la seguridad proporcionada por Confluence y un buen administrador de contraseñas.

Un problema específico es que Confluence no cifra los datos en reposo. Esto significa que alguien con acceso físico al disco puede acceder a las contraseñas. Incluso si encripta el disco, alguien que tenga acceso al disco una vez que la computadora haya arrancado (por ejemplo, a través de un acceso a disco remoto configurado incorrectamente, o ejecutando un proceso en el servidor), puede leer las contraseñas de texto simple.

Confluence también tiene muchos ajustes de configuración que se combinan para otorgar o denegar el acceso a los recursos. La configuración incorrecta de estos puede llevar a que los usuarios accedan involuntariamente a los datos.

Confluence tampoco es compatible con las funciones comunes del administrador de contraseñas, tales como tiempos de espera de autenticación cortos y contraseñas de enmascaramiento. Lo primero es importante porque las contraseñas se consideran demasiado críticas para ser confiables para la autenticación de una computadora o portal web como Confluence. Enmascarar contraseñas es importante para prevenir hombro surfing que, en el caso de una lista de contraseñas en una tabla en un La página wiki, parece una seria preocupación.

Más en general, Confluence es una aplicación grande y compleja que está escrita con el objetivo de compartir datos. Los administradores de contraseñas son aplicaciones muy específicas que se escriben con el objetivo de proteger los datos. Como tales, es probable que hayan tenido más pruebas centradas en la seguridad y revisiones de código, hayan sido escritos por ingenieros más conscientes de la seguridad y hayan sido objeto de más abusos de seguridad por parte de los usuarios. Todo esto hace que los administradores de contraseñas tengan menos probabilidades de tener vulnerabilidades.

    
respondido por el Neil Smithline 02.04.2016 - 18:59
fuente
1

La mayoría de los administradores de contraseñas usan el cifrado para proteger los datos en reposo, lo más probable es que Confluence no lo haga. Si esto importa o no, dependerá de quién tenga acceso a la base de datos de Confluence.

    
respondido por el user1751825 02.04.2016 - 11:01
fuente
1

Somos conscientes de las necesidades de compartir contraseñas e información confidencial en Confluence. Ya que es un centro de colaboración de nuestro equipo, tendría sentido compartir información a través de Confluence. Recomiendo evaluar el Security & Complemento de cifrado que proporciona una macro para cifrar (con PGP) y almacenar sus contraseñas.

    
respondido por el Azwandi Mohd Aris 13.05.2016 - 02:28
fuente

Lea otras preguntas en las etiquetas