Almacenar muchas contraseñas a las que los diferentes niveles de empleados necesitan acceso

Navega tus respuestas
2

Me pregunto qué hacen otras personas para almacenar contraseñas. Nuestro modelo actual en mi empleador es fundamentalmente defectuoso en mi opinión, así que estoy tratando de ver qué hacen otras personas para poder seleccionar el mejor método.

Ahora mismo, todas las contraseñas de todo se almacenan en un archivo de Excel que se encuentra en una carpeta de Dropbox protegida por contraseña. Sólo un par de personas tienen acceso a él.

Ciertos empleados necesitan acceso a diferentes contraseñas y algunos de ellos son casi imposibles de recordar, mientras que otros son simples palabras del diccionario con algunos signos de puntuación y números para recordar fácilmente. Por lo tanto, el departamento de marketing necesita acceso a ciertas contraseñas a las que el departamento de contabilidad no necesita acceso y viceversa, esto también se aplica a varios departamentos.

Algunos problemas que veo son que las contraseñas no están cifradas, hay un par de guardianes que tienen acceso a todas las contraseñas, no solo es un inconveniente para esas personas cada vez que alguien necesita una contraseña, sino que también es otro riesgo de seguridad. Podría seguir hablando sobre las fallas en la configuración actual. Tengo curiosidad por lo que otras personas hacen en este tipo de situación?

Una solución en la que estaba pensando es crear una base de datos interna intranet que esté encriptada y cada vez que una persona necesita una contraseña, inicia sesión y puede seleccionar la contraseña que necesita. El CEO o la persona a cargo pueden cambiar las contraseñas, decidir quién obtiene acceso a las contraseñas, etc.

    
pregunta Yamaha32088 22.01.2015 - 21:13
fuente

2 respuestas

5

En primer lugar, tanto como sea posible, necesita cambiarse a algo como Windows Active Directory o usar LDAP * para permisos internos. De esa forma, los usuarios obtienen permisos basados en un repositorio central, no conocen las contraseñas de otros usuarios y puede auditar quién puede y quién lo hizo.

Supondré que no estás en una industria regulada (si lo estás, estás en un verdadero problema). Incluso entonces, la configuración actual de su empresa comparte todas las contraseñas con Dropbox, cualquiera que tenga acceso a los datos o copias de seguridad de Dropbox, y potencialmente con cualquier compañía que luego se fusione o adquiera Dropbox. Esto puede o no ser un argumento que a nadie le importe.

Cambiar las contraseñas es un gran problema, y cada vez que alguien se retire, DEBE estar cambiando las contraseñas. ¿Por qué una persona no empleada o bajo contrato tiene acceso a los recursos corporativos? Es aún peor si se fueron en circunstancias menos que amistosas.

Una vez que haya terminado con la integración de AD o LDAP, todavía habrá sistemas que no estén integrados. Para ellos, soy un gran fan de KeePass **. Los empleados pueden tener un archivo KeePass "personal", que es su principal, y tiene cuentas específicas para cada persona, que se deben usar tanto como sea posible, para que puedan desactivarse cuando las personas se van y así se pueden auditar las acciones

  • DEBE supervisar y tomar medidas serias cuando vea que los empleados comparten contraseñas. Esta es una práctica muy común en pequeñas empresas no reguladas, y causa problemas más adelante (las auditorías fallaron, los clientes hicieron preguntas difíciles sobre sus propias auditorías, la regulación futura y nuevamente el costo de cambiar todas las contraseñas que cualquier exempleado conoce).

  • Si su empleador realmente ama a Dropbox, hay integración de KeePass disponible, así como integración de FTP, SFTP, etc. .

    • Pregúnteles cuál es su plan para los momentos en que Dropbox es inaccesible (se trata de DDoS'd) o de repente se cierra (si Enron, Lehmen Brothers y Lavabit pueden desaparecer de la noche a la mañana, también Dropbox)

Los empleados también pueden haber compartido archivos KeePass si es absolutamente necesario; hace un buen trabajo al manejar a algunas personas abriendo y modificando el mismo archivo .kbdx simultáneamente, combinando las actualizaciones, o puede usar el comando Sincronizar. Las contraseñas y los archivos de claves que se utilizan para abrir estos archivos KeePass compartidos deben mantenerse a la menor cantidad de personas posible, los contenidos deben ser lo más mínimos posible y se deben cambiar las contraseñas y los archivos de claves cada vez que alguien que los conozca se vaya.

  • Nuevamente, configure cuentas individuales en cada punto que se pueda hacer. Cuando tienes que investigar algo (llámalo un problema de producción, o tal vez un fraude), esto es crítico.
  • Para cualquier base de datos KeePass compartida, use un archivo de claves generado aleatoriamente si la administración lo acepta, pero también las contraseñas largas (35 caracteres o más) generadas aleatoriamente por el propio KeePass; los empleados mantienen las contraseñas compartidas en su base de datos personal de KeePass, y las contraseñas DEBEN ser tan largas y aleatorias que sea honestamente onerosa para los empleados escribirlas a mano.
    • De esa manera, no hay incentivo para escribirlo; toma una eternidad y es un dolor escribir de todos modos.
    • También se pueden usar caracteres ASCII altos, como el símbolo de copyright o los caracteres acentuados, lo que dificulta aún más que los empleados adquieran el hábito de usar cuentas de superusuario compartidas sin pasar por su propio documento KeePass.

* Para ver un ejemplo de Linux, vea la pregunta "¿Cómo configuro mi sistema RHEL5 o RHEL6 para usar ldap para autenticación?"

** Cuando configura su base de datos KeePass, o después si alguien más lo hace, asegúrese de ingresar a Archivo, Configuración de la base de datos y haga clic en el botón para el número de rondas "de un segundo". Auméntelo desde allí como mejor le parezca, pero hacer eso incluso en una máquina muy lenta aumenta significativamente su seguridad. Por lo general, uso de millones a decenas de millones de rondas, ya que un segundo o cinco no importa en comparación con los ahorros de velocidad de la característica de auto-tipo.

    
respondido por el Anti-weakpasswords 23.01.2015 - 05:41
fuente
2

Respuesta básica: ¡no hagas eso!

  

Nuestro modelo actual en mi empleador es fundamentalmente defectuoso en mi opinión

Tu opinión es totalmente correcta. Almacenar contraseñas en un archivo como este es una cosa muy mala. Las contraseñas anti-débiles también son correctas: lo primero que debe hacer en esta situación es implementar una infraestructura de control de acceso corporativo "adecuada". Para el 99% de las empresas, esto es MS Active Directory, aunque hay valientes atípicos que van con otras opciones. Pero, para ser brutalmente honestos, parece que implementar AD correctamente será un desafío para su empresa, por lo que ni siquiera piense en las alternativas, que son más difíciles.

El concepto crítico aquí es que el permiso para hacer algo debe estar asociado con un rol o membresía de grupo en el directorio, y no con un conjunto específico de credenciales de usuario. Por ejemplo, puede tener la situación en la que Lisa es la única persona que debe tener el permiso para marcar a un empleado como "Terminado" en su sistema de recursos humanos. Pero debes considerar a Lisa como transitoria: podría abandonar en cualquier momento. Así que no vinculas tu sistema de autorización a Lisa . En su lugar, crea un grupo llamado (diga) Firers en su directorio y agrega a Lisa a ese grupo. Luego, las aplicaciones solo tienen que comprobar si el usuario actual está en el grupo Firers y no si son Lisa .

Si lo haces correctamente, no tendrás que molestarte con los sistemas externos de administración de contraseñas como 1Pass o KeePass. Estas cosas tienen su lugar, ciertamente, pero no está en el sistema de control de acceso interno de una organización.

    
respondido por el Dave Mulligan 23.01.2015 - 10:15
fuente

Lea otras preguntas en las etiquetas

¿Desventajas de HTTP GET / POST Flooding Attack? Mi sitio web ha sido hackeado, ¿qué hago después? [cerrado]