贵公司如何确保所有必需的员工都可以访问他们的(共享)客户端应用程序、公司系统和第三方应用程序的凭据?
例如:
- 已部署 Web 应用程序的管理凭据
- 第三方网站/应用程序的凭据,例如 SSL 提供商
- 内部应用程序的凭据
AskOverflow.Dev
贵公司如何确保所有必需的员工都可以访问他们的(共享)客户端应用程序、公司系统和第三方应用程序的凭据?
例如:
在我工作过的小公司,我们通常会使用Password Safe程序创建一个包含共享帐户的加密文件。Password Safe将为您提供一些额外的好处,例如自动从用户的剪贴板中清除密码并在一段时间后重新锁定自己。
然而,在必须遵守各种安全标准(PCI、GLBA、HIPAA 等)的大型组织中,共享凭证是审核员会相当高兴的事情之一。您最好将应用程序设置为针对LDAP或RADIUS进行身份验证。拥有 1 个共享登录以进行管理访问可能会导致内部威胁在退出或其他恶意用途之前做一些愚蠢的事情。
Ivan 的评论提到了KeePass,我知道一些组织使用和喜欢它。我个人没用过几分钟,但是喜欢Password Safe的功能但不喜欢它的界面的人往往会喜欢KeePass。他还建议使用LastPass,它添加了诸如自动化网络表单之类的功能,我没有亲自尝试过,但它看起来像是我可以尝试并回家并可能工作的东西。
对于所有规模的公司,我一直是团队的一员。我们非常努力地让个人登录到所有内容。然后,我们使用一些单点登录技术为我们管理所有登录。这些系统可能很昂贵并且需要数小时来维护。
最近我发现了一个使用强加密的程序,我们将所有密码强制输入到这个程序中,以至于如果我没有 PIN,我就无法完成任何事情。有人会说这是危险的,但如果需要分离,那么发现的胃灼热就会减少。
http://www.mirekw.com/winfreeware/pins.html ..这个工具很棒,很容易满足您的需求。
我们不允许我们的员工拥有共享帐户。但是,在管理上,有时不可能为供应商提供多个帐户 - 就像您所说的 ssl 证书等,跟踪与谁关联的帐户更像是一场噩梦。对于这些情况,我们简单地拥有一组“系统”密码,这些密码不会写在任何地方,并且有我们在与其他系统个人通信时使用的代码字或触发器。代码字是通用的,不能用来猜测密码,但我们都知道与之关联的密码。
例如,密码将使用压缩短语创建并添加数字和非字母数字字符,例如:
“Windows Blinds are a Good thing to have”将变为 WbRg!th@,代码字将是“The Window Password”