¿Qué ventajas ofrecen Secret Managers en términos de autenticación [uso de API]?

Question

¿Qué ventajas ofrecen Secret Managers en términos de autenticación [uso de API]?

#1 de rtsec (0 votos)

1

El problema que veo con los administradores secretos (programas que sirven como almacén de secretos para otros programas / API) es que, en algún nivel, una clave o credenciales aún deben proporcionarse mediante programación, por lo que el problema original no se resuelve por completo. porque si esa clave / credencial "maestra" se transmite de forma insegura, se almacena en el código fuente o se compromete de alguna otra manera, se compromete los secretos después de todo.

¿Puede alguien que tenga un poco más de educación sobre el tema comentar sobre cómo los administradores de secretos abordan el problema de autenticación o hacerlo más seguro con respecto a la autenticación tradicional de clave API?

Algunos sistemas de ejemplo: Thycotic Secret Server, Amazon Secrets Manager, Hashicorp Vault.

password-management key-management

pregunta the_endian 09.10.2018 - 23:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas password-management key-management

¿Cambia Whatsapp la clave al cambiar de teléfono? Longitud ESP limitada en el programa de muestra C de desbordamiento de búfer

score 0 · Answer 1

Siempre depende de cuán crítico sea su software.

Software
Sí, la mayoría de las veces todavía tiene que proporcionar una clave o credenciales en algún momento, mediante programación o dando acceso a un archivo solo a un servicio específico y ese archivo contiene el secreto. Si elige cualquiera de estas formas, es importante borrar el valor de la memoria lo antes posible (inmediatamente después de la autenticación, si este es su propósito).

Si su propósito es el cifrado o la firma digital, siempre puede usar la criptografía de clave pública, dar al software la clave pública (y usar esa para el cifrado / firma digital) y usar de alguna otra manera (sin conexión / almacenada por separado) la clave privada.

Hardware
Si puede comprar hardware, entonces una solución podría ser almacenar el secreto maestro en un dispositivo separado que esté seguro de que no se verá comprometido, y acoplar ese dispositivo a un servidor en un centro de datos / jaula seguro.