¿Qué estándares existen para administrar contraseñas de alto valor?

Para mantener las contraseñas de las aplicaciones, encontré una herramienta de código abierto llamada CorporateVault . Es una aplicación web de administración de contraseñas multiusuario diseñada para que las organizaciones almacenen contraseñas. Escrito en Grails, Groovy y Java.

Es una buena herramienta para administrar contraseñas

Entonces, en la línea de los estándares, el hecho de que tenga todas las credenciales de todos los sistemas ya es una bandera roja gigante (a menos que sea la única persona en el equipo). Ahora entiendo que es un inicio, pero solo mencionarlo a medida que su empresa crece. Continuando, lo que debería suceder es que debería haber un administrador (persona diferente para cada sistema) que tenga las credenciales para ese sistema específico, junto con una persona separada que tenga la capacidad de restaurar / restablecer esa contraseña en caso de incumplimiento / pérdida contraseña. Es importante mantener a estas personas separadas y hacer cumplir la contraseña, así como la rotación de la posición. Así que este trimestre soy un ingeniero de software, el próximo trimestre soy un DBA, etc. Forzando un cambio de contraseña de administrador cada vez.

Básicamente, lo que desea es una clara separación de tareas para cada persona responsable de administrar un sistema, esto también ayudará a mitigar el concepto de amenaza interna (no se elimina por completo, pero permite un mejor "seguimiento"). Este tipo de cosas generalmente se establece en una política que debe tener dientes (ejecutable y tener repercusiones, incluida la rescisión).

Si la pregunta es cómo administrar estas contraseñas de manera segura, en términos de almacenamiento en hardware, hágamelo saber y haré un esfuerzo para responder eso.

EDIT

Otra solución potencial es generar una contraseña de administrador aleatoria todos los días y distribuirla a las personas adecuadas a través de un correo electrónico cifrado, lo que también reducirá la exposición de los sistemas a los usuarios internos y externos.

En las empresas en las que he trabajado, me han dado acceso a un sitio web donde puedo iniciar sesión con mi contraseña de Active Directory y solicitar una contraseña para cualquier servidor. Si se borra mi inicio de sesión para ese servidor, veo la contraseña en texto sin formato, de lo contrario, recibiría un mensaje de error no autorizado.

También puede usar algún software de administración de contraseñas de terceros, una búsqueda rápida en Google arrojará resultados como KeePass .

Un enfoque es anotar todas las contraseñas y almacenarlas en una caja de seguridad física. Si tiene un administrador o una persona de cuentas, son una buena opción para administrarlos. Si un autobús lo atropella, pueden hacer que las contraseñas estén disponibles para su reemplazo. Otra posibilidad, considerando su posición como fundador de nuevas empresas, es entregárselas a su abogado o contador, o tal vez a su esposa.

Usted pregunta específicamente sobre las normas. ISO 27002 sería el primer lugar donde buscaría información sobre esto. Acabo de echar un vistazo rápido y no pude encontrar nada específico. Sin embargo, una consideración es la responsabilidad individual. En lugar de proporcionarle a alguien su contraseña, debe crear cuentas separadas con los mismos privilegios (y una contraseña diferente), y mantener esas segundas cuentas a salvo.

Un riesgo con este enfoque es que usted confía completamente en alguien. Su esposa o contador podría tomar el control completo de sus servidores. Hay una solución técnica para esto llamada intercambio secreto . Podría, por ejemplo, dar a tres personas partes del secreto, y organizarlo para que dos de ellas puedan combinar sus secretos para recuperar las contraseñas. Sin embargo, esto es probablemente más una curiosidad técnica que un sistema que realmente desea utilizar.