Nuestro inicio tiene algo así como 100 nombres de usuario y contraseñas para realizar un seguimiento, y no podemos hacer un seguimiento de todos ellos. ¿Sería una mala idea ponerlos a todos en una hoja de cálculo de Google compartida entre nosotros? Se siente como un problema de seguridad, pero no puedo explicar por qué pienso eso.
Sin querer elegir en Google, debería leer el artículo de James Fallows en el noviembre Atlantic Monthly . En resumen, la cuenta de GMail de la esposa de Fallows fue comprometida por un estafador. La estafadora usó su lista de correo y correos electrónicos antiguos para generar una "Ayuda, ¡me han atracado en una ciudad extranjera y necesito dinero!" estafa. Además de eso, el malhechor eliminó todos sus documentos y el correo electrónico anterior antes de que recuperara el control de la cuenta.
Considere: su documento compartido no es más seguro que la cuenta de Google de su miembro del equipo más descuidado. Si bien la seguridad de Google puede ser generalmente mejor que la tuya en teoría, también es un objetivo más prominente y puede verse fácilmente socavada por el descuido de parte de un usuario.
Puede incorporar la nube de Google en su infraestructura, pero no puede simplemente asumir que Google asumirá toda la responsabilidad de su seguridad. Nadie se preocupará por tus datos tanto como tú.
Utilice un sistema seguro de gestión de contraseñas. Son fáciles de configurar y bastante económicos.
Este es el que me recomendó un colega: enlace
Y sí, poner todas tus contraseñas en una hoja de cálculo compartida es una mala idea por al menos 2 razones:
La razón obvia (seguridad). Un error (p. Ej., Un dedo gordo de una dirección de correo electrónico o si adjunta accidentalmente el archivo incorrecto a un correo electrónico) y tiene que cambiar cada contraseña. O si su red está comprometida, debe asumir que la hoja de cálculo se perdió y ahora el atacante tiene potencialmente todas las contraseñas de su proveedor / socio (o lo que esté almacenado en la lista).
La razón no tan obvia: eventualmente, la hoja de cálculo quedará desactualizada o existirán varias copias. Este es un problema con la gestión de documentos en todas las empresas. Incluso como inicio, nunca es demasiado temprano para comenzar a planificar cómo compartir documentos desde una ubicación central y administrar los cambios.
Espere. ¿Están pensando en compartir entre ustedes la lista de todos sus nombres de usuario y contraseñas? Eso no es simplemente espectacular, sino que es una mala idea monumentalmente independientemente de si la almacena como una hoja de cálculo de Google o notas post-it.
Y, por supuesto, una hoja de cálculo de Google tiene la desventaja adicional de ser publicable en todo el planeta con un par de clics.
La regla sobre las contraseñas debe ser: "Su contraseña es muy estrictamente personal. Si descubrimos que alguien más que usted conoce su contraseña, los dos están despedidos".
En un ataque dirigido, una de las primeras cosas escaneadas es una lista de usuarios y contraseñas no protegida. Una vez que tienes eso, tienes las llaves del reino.
Lo siguiente en línea es buscar un organigrama para encontrar qué nombres de usuario tienen más probabilidades de tener acceso a los datos que desea robar.
Si esto es para acceder a infraestructura como enrutadores y servidores, es particularmente útil si las cuentas de administrador tienen acceso a cualquier archivo que desees leer, no comprometido por los permisos de las cuentas de usuario.
Mantenga esto bajo llave, incluso si es algo tan simple como las notas encriptadas de Roboform. Ni siquiera piense en enviar este archivo al mundo exterior a otra parte, no tiene idea de dónde se enviará ni con quién se compartirá.
En su escenario como una hoja de cálculo de Google compartida, no tiene idea de quién la compartirá. Tu modelo de seguridad debe ser replanteado, ya que realmente no tienes seguridad cuando compartes contraseñas como esta. Quis custodiet ipsos custodes?
Tengo un colega que consultó para una compañía que estaba haciendo algo tan colosalmente tonto: lo mismo, con contraseñas bancarias.
¡Quieres algo como enlace ! (Solo soy un cliente feliz (no empresarial).)
Con eso, NINGUNO de su personal necesita acceso directo a las contraseñas para usarlas. < sic >
Depende de su nivel de seguridad requerido.
Si usted es una agencia de inteligencia, una fuerza policial o un servicio de salud que tiene datos confidenciales de millones de personas, una hoja de cálculo de Google es completamente inaceptable
En ese caso, los datos deben estar en una hoja de cálculo de Excel en una llave USB que se deja en un tren.
(en los EE. UU., donde se ha bloqueado de manera eficaz la izquierda en una laguna del tren, se debe dejar en un taxi)
Lea otras preguntas en las etiquetas passwords